Para habilitar la autorización binaria en clústeres adjuntos de GKE, sigue estos pasos:
Habilita la API de autorización binaria en tu proyecto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSustituye
PROJECT_IDpor el ID de tuGoogle Cloud proyecto.Asigna el rol
binaryauthorization.policyEvaluatora la cuenta de servicio de Kubernetes asociada al agente de Autorización binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Habilita la autorización binaria al registrar o actualizar un clúster.
Registrar un clúster
Para habilitar la autorización binaria al registrar un clúster, usa el comando
gcloud container attached clusters register. Sigue las instrucciones para asociar tu clúster de AKS e incluye el argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESustituye
CLUSTER_NAMEpor el nombre de tu clúster.Actualizar un clúster
Para habilitar la autorización binaria al actualizar un clúster, usa el comando
gcloud container attached clusters update. Sigue las instrucciones para actualizar tu clúster de AKS e incluye el argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESustituye
CLUSTER_NAMEpor el nombre de tu clúster.
Si sigues estos pasos, te asegurarás de que solo se usen imágenes verificadas y de confianza para crear contenedores de Kubernetes en tus clústeres de GKE. Esto ayuda a mantener un entorno seguro para tus aplicaciones.
Configurar políticas
Habilitar la autorización binaria por sí sola no protege automáticamente tu clúster. De forma predeterminada, permite que se desplieguen todas las imágenes de contenedor si no se ha configurado ninguna política. Esto significa que, para proteger tu clúster de forma eficaz, debes definir y aplicar una política que especifique qué imágenes están permitidas. Para obtener información sobre cómo configurar una política de autorización binaria, consulta el artículo sobre cómo configurar una política con la CLI de Google Cloud.