Führen Sie die folgenden Schritte aus, um die Binärautorisierung für GKE-angehängte Cluster zu aktivieren:
Aktivieren Sie die Binary Authorization API in Ihrem Projekt:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDErsetzen Sie
PROJECT_IDdurch die ID Ihres Google Cloud-Projekts.Weisen Sie dem Kubernetes-Dienstkonto, das dem Binärautorisierungs-Agent zugeordnet ist, die Rolle
binaryauthorization.policyEvaluatorzu:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Binärautorisierung beim Registrieren oder Aktualisieren eines Clusters aktivieren.
Cluster registrieren
Verwenden Sie den Befehl
gcloud container attached clusters register, um die Binärautorisierung beim Registrieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter CNCF-konformen Cluster anhängen und fügen Sie das optionale Argument--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEhinzu:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEErsetzen Sie
CLUSTER_NAMEdurch den Namen Ihres Clusters.Cluster aktualisieren
Verwenden Sie den Befehl
gcloud container attached clusters update, um die Binärautorisierung beim Aktualisieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter CNCF-konformen Cluster aktualisieren und fügen Sie das optionale Argument--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEein:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEErsetzen Sie
CLUSTER_NAMEdurch den Namen Ihres Clusters.
Mit diesen Schritten sorgen Sie dafür, dass nur vertrauenswürdige und verifizierte Images zum Erstellen von Kubernetes-Containern in Ihren GKE-Clustern verwendet werden. So erhalten Sie eine sichere Umgebung für Ihre Anwendungen.