設定 GKE

本頁提供總覽，說明如何在環境中設定二進位授權強制執行功能，以便搭配 Google Kubernetes Engine (GKE) 使用。您可以使用 Google Cloud 控制台或 Google Cloud CLI 設定二進位授權。您也可以使用 Binary Authorization REST API 執行部分設定步驟。

如需包含下列設定步驟的端對端教學課程，請參閱「開始使用 Google Cloud CLI」或「開始使用 Google Cloud 控制台」。

如要設定 Binary Authorization，請執行下列步驟：

1. 啟用二進位授權。

2. 建立叢集並啟用二進位授權，或在現有叢集上啟用二進位授權。

3. 設定二進位授權政策。

   您可以在政策中設定下列功能：

   • 預設規則。
   • 叢集專屬規則。
   • Kubernetes 服務身分或命名空間的專屬規則。
   • 豁免圖片。 進一步瞭解排除的圖片。

4. 選用：如果您有不同的 Google Cloud 專案擁有政策或 Container Registry 存放區，請授予跨專案存取所需的 IAM 角色。如需操作說明，請參閱「為 GKE 中的二進位授權設定跨專案存取權」。

5. 選用：使用 built-by-cloud-build 驗證者只部署 Cloud Build 建構的映像檔。

6. 選用：使用認證。

7. 部署容器映像檔。

8. 在 Cloud 稽核記錄中查看事件。