Guna mengaktifkan Otorisasi Biner untuk cluster terpasang GKE, lakukan langkah-langkah berikut:
Aktifkan Binary Authorization API di project Anda:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID
Ganti
PROJECT_ID
dengan ID project Google Cloud Anda.Berikan peran
binaryauthorization.policyEvaluator
ke akun layanan Kubernetes yang terkait dengan agen Otorisasi Biner:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"
Aktifkan Otorisasi Biner saat mendaftarkan atau memperbarui cluster.
Mendaftarkan cluster
Untuk mengaktifkan Otorisasi Biner saat mendaftarkan cluster, gunakan perintah
gcloud container attached clusters register
. Ikuti petunjuk dalam lampirkan cluster AKS, dan sertakan argumen opsional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Ganti
CLUSTER_NAME
dengan nama cluster Anda.Mengupdate cluster
Untuk mengaktifkan Otorisasi Biner saat mengupdate cluster, gunakan perintah
gcloud container attached clusters update
. Ikuti petunjuk dalam mengupdate cluster AKS, dan sertakan argumen opsional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Ganti
CLUSTER_NAME
dengan nama cluster Anda.
Dengan mengikuti langkah-langkah ini, Anda memastikan bahwa hanya image tepercaya dan terverifikasi yang digunakan untuk membuat container Kubernetes di cluster GKE. Hal ini membantu menjaga lingkungan yang aman untuk aplikasi Anda.