Para habilitar Autorización Binaria para clústeres conectados de GKE, sigue estos pasos:
Habilita la API de Binary Authorization en tu proyecto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID
Reemplaza
PROJECT_ID
por el ID del proyecto de Google Cloud.Otorga el rol
binaryauthorization.policyEvaluator
a la cuenta de servicio de Kubernetes asociada con el agente de Autorización Binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"
Habilita la autorización binaria cuando registres o actualices un clúster.
Registra un clúster
Para habilitar la autorización binaria cuando registras un clúster, usa el comando
gcloud container attached clusters register
. Sigue las instrucciones que se indican en Adjunta tu clúster que cumple con la CNCF e incluye el argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Reemplaza
CLUSTER_NAME
por el nombre del clúster.Actualiza un clúster
Para habilitar la autorización binaria cuando actualizas un clúster, usa el comando
gcloud container attached clusters update
. Sigue las instrucciones en actualiza tu clúster que cumpla con las especificaciones de CNCF y, luego, incluye el argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Reemplaza
CLUSTER_NAME
por el nombre del clúster.
Si sigues estos pasos, te aseguras de que solo se usen imágenes confiables y verificadas para crear contenedores de Kubernetes en tus clústeres de GKE. Esto ayuda a mantener un entorno seguro para tus aplicaciones.