Binärautorisierung aktivieren

Führen Sie die folgenden Schritte aus, um die Binärautorisierung für GKE-angehängte Cluster zu aktivieren:

  1. Aktivieren Sie die Binary Authorization API in Ihrem Projekt:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    Ersetzen Sie PROJECT_ID durch die ID Ihres Google Cloud-Projekts.

  2. Weisen Sie dem Kubernetes-Dienstkonto, das dem Binärautorisierungs-Agent zugeordnet ist, die Rolle binaryauthorization.policyEvaluator zu:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. Binärautorisierung beim Registrieren oder Aktualisieren eines Clusters aktivieren.

    Cluster registrieren

    Verwenden Sie den Befehl gcloud container attached clusters register, um die Binärautorisierung beim Registrieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter CNCF-konformen Cluster anhängen und fügen Sie das optionale Argument --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE hinzu:

    gcloud container attached clusters register CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.

    Cluster aktualisieren

    Verwenden Sie den Befehl gcloud container attached clusters update, um die Binärautorisierung beim Aktualisieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter CNCF-konformen Cluster aktualisieren und fügen Sie das optionale Argument --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ein:

    gcloud container attached clusters update CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Ersetzen Sie CLUSTER_NAME durch den Namen Ihres Clusters.

Mit diesen Schritten sorgen Sie dafür, dass nur vertrauenswürdige und verifizierte Images zum Erstellen von Kubernetes-Containern in Ihren GKE-Clustern verwendet werden. So erhalten Sie eine sichere Umgebung für Ihre Anwendungen.