Per abilitare Autorizzazione binaria per i cluster collegati a GKE, segui questi passaggi:
Abilita l'API Binary Authorization nel tuo progetto:
gcloud services enable binaryauthorization.googleapis.com \
--project=PROJECT_ID Sostituisci
PROJECT_IDcon l'ID del tuo progetto Google Cloud.Concedi il ruolo
binaryauthorization.policyEvaluatorall'account di servizio Kubernetes associato all'agente di Autorizzazione binaria:gcloud projects add-iam-policy-bindingPROJECT_ID \
--member=serviceAccount:PROJECT_ID .svc.id.goog[gke-system/binauthz-agent] \
--role="roles/binaryauthorization.policyEvaluator"Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.
Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il comando
gcloud container attached clusters register. Segui le istruzioni per collegare il cluster AKS e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters registerCLUSTER_NAME \
...
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando
gcloud container attached clusters update. Segui le istruzioni in aggiorna il cluster AKS e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters updateCLUSTER_NAME \
...
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.
Seguendo questi passaggi, fai in modo che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei tuoi cluster GKE. Ciò consente di mantenere un ambiente sicuro per le applicazioni.