Per abilitare Autorizzazione binaria per i cluster collegati a GKE, segui questi passaggi:
Abilita l'API Binary Authorization nel tuo progetto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID
Sostituisci
PROJECT_ID
con l'ID del tuo progetto Google Cloud.Concedi il ruolo
binaryauthorization.policyEvaluator
all'account di servizio Kubernetes associato all'agente di Autorizzazione binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"
Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.
Registra un cluster
Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il comando
gcloud container attached clusters register
. Segui le istruzioni per allegare il cluster conforme a CNCF e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Sostituisci
CLUSTER_NAME
con il nome del tuo cluster.Aggiorna un cluster
Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando
gcloud container attached clusters update
. Segui le istruzioni per aggiornare il cluster conforme a CNCF e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
Sostituisci
CLUSTER_NAME
con il nome del tuo cluster.
Seguendo questi passaggi, fai in modo che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei tuoi cluster GKE. Ciò consente di mantenere un ambiente sicuro per le applicazioni.