Configurar para o GKE

Nesta página, você encontrará informações gerais sobre como configurar a autorização binária no seu ambiente para uso com o Google Kubernetes Engine (GKE). É possível configurar a autorização binária usando o Console do Google Cloud ou a Google Cloud CLI. Você também pode executar algumas etapas de configuração usando a API REST de autorização binária.

Para ver um tutorial completo que inclui as seguintes etapas de configuração, consulte Introdução à CLI do Google Cloud ou Introdução ao Console do Google Cloud.

Para configurar a autorização binária, execute as seguintes etapas:

1. Ative a autorização binária.

   A ativação da API Binary Authorization também permite verificar problemas com a execução de imagens de contêiner na página Postura de segurança do GKE no Console do Google Cloud, sem ativar recursos em clusters individuais. Para mais detalhes, consulte Sobre o painel de postura de segurança na documentação do GKE.

2. Crie um cluster com a autorização binária ativada ou ative a autorização binária em um cluster atual.

3. Configure sua política de autorização binária.

   Você pode configurar os seguintes recursos na sua política:

   • Regra padrão.
   • Regras específicas do cluster.
   • Regras específicas para o namespace ou a identidade de serviço do Kubernetes.
   • Imagens isentas. Saiba mais sobre imagens isentas.

4. Opcional: se você tiver diferentes projetos do Google Cloud que sejam proprietários da sua política ou dos seus repositórios do Container Registry, conceda os papéis do IAM necessários para o acesso entre projetos. Para instruções, acesse Configurar o acesso entre projetos para autorização binária no GKE.

5. Opcional: use o atestador built-by-cloud-build para implantar somente imagens criadas pelo Cloud Build.

6. Opcional: use atestados.

7. Implantar imagens de contêiner.

8. Ver os eventos nos registros de auditoria do Cloud.