Per abilitare Autorizzazione binaria per i cluster collegati a GKE, segui questi passaggi:
Abilita l'API Binary Authorization nel tuo progetto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del tuo progetto Google Cloud.Concedi il ruolo
binaryauthorization.policyEvaluatorall'account di servizio Kubernetes associato all'agente di Autorizzazione binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.
Registra un cluster
Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il comando
gcloud container attached clusters register. Segui le istruzioni per allegare il cluster conforme a CNCF e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.Aggiorna un cluster
Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando
gcloud container attached clusters update. Segui le istruzioni per aggiornare il cluster conforme a CNCF e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.
Seguendo questi passaggi, fai in modo che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei tuoi cluster GKE. Ciò consente di mantenere un ambiente sicuro per le applicazioni.