Führen Sie die folgenden Schritte aus, um die Binärautorisierung für GKE-angehängte Cluster zu aktivieren:
Aktivieren Sie die Binary Authorization API in Ihrem Projekt:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID
Ersetzen Sie
PROJECT_ID
durch die ID Ihres Google Cloud-Projekts.Weisen Sie dem Kubernetes-Dienstkonto, das dem Binärautorisierungs-Agent zugeordnet ist, die Rolle
binaryauthorization.policyEvaluator
zu:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"
Binärautorisierung beim Registrieren oder Aktualisieren eines Clusters aktivieren.
Cluster registrieren
Verwenden Sie den Befehl
gcloud container attached clusters register
, um die Binärautorisierung beim Registrieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter CNCF-konformen Cluster anhängen und fügen Sie das optionale Argument--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
hinzu:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Ersetzen Sie
CLUSTER_NAME
durch den Namen Ihres Clusters.Cluster aktualisieren
Verwenden Sie den Befehl
gcloud container attached clusters update
, um die Binärautorisierung beim Aktualisieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter CNCF-konformen Cluster aktualisieren und fügen Sie das optionale Argument--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
ein:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Ersetzen Sie
CLUSTER_NAME
durch den Namen Ihres Clusters.
Mit diesen Schritten sorgen Sie dafür, dass nur vertrauenswürdige und verifizierte Images zum Erstellen von Kubernetes-Containern in Ihren GKE-Clustern verwendet werden. So erhalten Sie eine sichere Umgebung für Ihre Anwendungen.