为 GKE 设置

本页面简要介绍了如何在您的环境中设置 Binary Authorization 强制执行以与 Google Kubernetes Engine (GKE) 搭配使用。您可以使用 Google Cloud 控制台或 Google Cloud CLI 设置 Binary Authorization。您还可以使用 Binary Authorization REST API 执行一些设置步骤。

如需查看包含以下设置步骤的端到端教程，请参阅 Google Cloud CLI 使用入门或 Google Cloud 控制台使用入门。

如需设置 Binary Authorization，请执行以下步骤：

启用 Binary Authorization。

通过启用 Binary Authorization API，您还可以在 Google Cloud 控制台的 GKE 安全状况页面中查看运行容器映像的问题，而无需在单个集群上启用功能。如需了解详情，请参阅 GKE 文档中的安全状况信息中心简介。
创建集群并启用 Binary Authorization，或在现有集群上启用 Binary Authorization。

注意：Binary Authorization 不强制执行 init 容器。
配置 Binary Authorization 政策。

注意：如果要使用证明，请跳过此步骤。
您可以在政策中配置以下功能：
- 默认规则。
- 集群特定规则。
- Kubernetes 服务身份或命名空间的特定规则。
- 豁免映像。详细了解豁免映像。
可选：如果您的不同 Google Cloud 项目具有政策或 Container Registry 制品库，请授予跨项目访问所需的 IAM 角色。如需查看相关说明，请参阅在 GKE 中为 Binary Authorization 配置跨项目访问。
可选：使用 built-by-cloud-build 证明者仅部署由 Cloud Build 构建的映像。
可选：使用证明。
部署容器映像。
在 Cloud Audit Logs 中查看事件。