啟用二進位授權

如要為 GKE 連結的叢集啟用二進位授權，請執行下列步驟：

1. 在專案中啟用 Binary Authorization API：

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   將 PROJECT_ID 替換為專案 ID。Google Cloud

2. 將 binaryauthorization.policyEvaluator 角色授予與 Binary Authorization 代理程式相關聯的 Kubernetes 服務帳戶：

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. 註冊或更新叢集時啟用二進位授權。

   註冊叢集

   如要在註冊叢集時啟用二進位授權，請使用 gcloud container attached clusters register 指令。請按照連結 EKS 叢集中的操作說明，並加入選用引數 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE：

   gcloud container attached clusters register CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   將 CLUSTER_NAME 替換為叢集名稱。

   更新叢集

   如要在更新叢集時啟用二進位授權，請使用 gcloud container attached clusters update 指令。按照「更新 EKS 叢集」一文中的操作說明，加入選用引數 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE：

   gcloud container attached clusters update CLUSTER_NAME \
     ...
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   將 CLUSTER_NAME 替換為叢集名稱。

按照這些步驟操作，即可確保只有經過驗證的受信任映像檔，可用於在 GKE 叢集中建立 Kubernetes 容器。這有助於維護應用程式的安全環境。

設定政策

單獨啟用二進位授權功能，並不會自動保護叢集。 如果未設定任何政策，預設會允許部署所有容器映像檔。也就是說，如要有效保護叢集，您必須定義並強制執行政策，指定允許使用的映像檔。如要瞭解如何設定二進位授權政策，請參閱使用 Google Cloud CLI 設定政策。