Diese Seite bietet einen Überblick darüber, wie Sie die Binärautorisierungamaßnahme in Ihrer Umgebung für die Verwendung mit Google Kubernetes Engine (GKE) einrichten. Sie können die Binärautorisierung mithilfe der Google Cloud Console oder der Google Cloud CLI einrichten. Sie können einige Einrichtungsschritte auch mit der REST API der Binärautorisierung ausführen.
Eine End-to-End-Anleitung mit den folgenden Einrichtungsschritten finden Sie unter: Erste Schritte mit der Google Cloud CLI oder Erste Schritte mit der Google Cloud Console.
So richten Sie die Binärautorisierung ein:
-
Wenn Sie die API für die Binärautorisierung aktivieren, können Sie auch Probleme mit dem Ausführen von Container-Images auf der GKE-Seite Sicherheitsstatus in der Google Cloud Console ansehen, ohne Funktionen für einzelne Cluster aktivieren zu müssen. Weitere Informationen finden Sie in der GKE-Dokumentation unter Informationen zum Sicherheitsstatus-Dashboard.
Erstellen Sie einen Cluster mit aktivierter Binärautorisierung oder aktivieren Sie die Binärautorisierung für einen vorhandenen Cluster.
Konfigurieren Sie Ihre Richtlinie zur Binärautorisierung.
Sie können in Ihrer Richtlinie die folgenden Features konfigurieren:
Optional: Wenn Sie verschiedene Google Cloud-Projekte haben, zu denen Ihre Richtlinien oder Ihre Container Registry-Repositories gehören, weisen Sie die für den projektübergreifenden Zugriff erforderlichen IAM-Rollen zu. Eine Anleitung finden Sie unter Projektübergreifenden Zugriff für die Binärautorisierung in GKE konfigurieren.
Optional: Verwenden Sie den Attestierer
built-by-cloud-build, um nur von Cloud Build erstellte Images bereitzustellen (Vorschau).Optional: Attestierungen verwenden.