Para ativar a autorização binária para clusters anexados do GKE, siga estes passos:
Ative a API Binary Authorization no seu projeto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSubstitua
PROJECT_IDpelo ID do seu projetoGoogle Cloud .Conceda a função
binaryauthorization.policyEvaluatorà conta de serviço do Kubernetes associada ao agente de autorização binária:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Ative a autorização binária quando registar ou atualizar um cluster.
Registe um cluster
Para ativar a autorização binária ao registar um cluster, use o comando
gcloud container attached clusters register. Siga as instruções para anexar o cluster do EKS e inclua o argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESubstitua
CLUSTER_NAMEpelo nome do cluster.Atualize um cluster
Para ativar a autorização binária ao atualizar um cluster, use o comando
gcloud container attached clusters update. Siga as instruções em atualize o cluster do EKS e inclua o argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESubstitua
CLUSTER_NAMEpelo nome do cluster.
Ao seguir estes passos, garante que apenas são usadas imagens fidedignas e validadas para criar contentores do Kubernetes nos seus clusters do GKE. Isto ajuda a manter um ambiente seguro para as suas aplicações.
Configure políticas
A ativação da autorização binária por si só não protege automaticamente o cluster. Por predefinição, permite a implementação de todas as imagens de contentores se não estiver configurada nenhuma política. Isto significa que, para proteger eficazmente o seu cluster, tem de definir e aplicar uma política que especifique as imagens permitidas. Para saber como configurar uma política de autorização binária, consulte o artigo Configure uma política através da CLI do Google Cloud.