Binary Authorization 사용

GKE 연결 클러스터에 Binary Authorization을 사용 설정하려면 다음 단계를 수행하세요.

1. 프로젝트에서 Binary Authorization API를 사용 설정합니다.

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   PROJECT_ID를Google Cloud 프로젝트 ID로 바꿉니다.

2. Binary Authorization 에이전트와 연결된 Kubernetes 서비스 계정에 binaryauthorization.policyEvaluator 역할을 부여합니다.

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. 클러스터를 등록하거나 업데이트할 때 Binary Authorization을 사용 설정합니다.

   클러스터 등록

   클러스터를 등록할 때 Binary Authorization을 사용하도록 설정하려면 gcloud container attached clusters register 명령어를 사용합니다. AKS 클러스터 연결의 지침을 따르고 다음과 같이 선택적 인수 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE를 포함합니다.

   gcloud container attached clusters register CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

   클러스터 업데이트

   클러스터를 업데이트할 때 Binary Authorization을 사용하도록 설정하려면 gcloud container attached clusters update 명령어를 사용합니다. AKS 클러스터 업데이트의 지침을 따르고 다음과 같이 선택적 인수 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE를 포함합니다.

   gcloud container attached clusters update CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

위의 단계를 따르면 신뢰할 수 있고 확인된 이미지만 GKE 클러스터에서 Kubernetes 컨테이너를 만드는 데 사용됩니다. 이렇게 하면 애플리케이션의 안전한 환경을 유지할 수 있습니다.

정책 구성

Binary Authorization만 사용 설정한다고 해서 클러스터가 자동으로 보호되는 것은 아닙니다. 기본적으로 정책이 구성되지 않은 경우 모든 컨테이너 이미지의 배포가 허용됩니다. 즉, 클러스터를 효과적으로 보호하려면 허용되는 이미지를 지정하는 정책을 정의하고 시행해야 합니다. Binary Authorization 정책을 구성하는 방법을 알아보려면 Google Cloud CLI를 사용하여 정책 구성을 참고하세요.