Attiva Autorizzazione binaria

Per abilitare Autorizzazione binaria per i cluster collegati a GKE, segui questi passaggi:

  1. Abilita l'API Binary Authorization nel tuo progetto:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

  2. Concedi il ruolo binaryauthorization.policyEvaluator all'account di servizio Kubernetes associato all'agente di Autorizzazione binaria:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.

    Registra un cluster

    Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il comando gcloud container attached clusters register. Segui le istruzioni per allegare il cluster conforme a CNCF e includi l'argomento facoltativo --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters register CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Sostituisci CLUSTER_NAME con il nome del tuo cluster.

    Aggiorna un cluster

    Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando gcloud container attached clusters update. Segui le istruzioni per aggiornare il cluster conforme a CNCF e includi l'argomento facoltativo --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters update CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Sostituisci CLUSTER_NAME con il nome del tuo cluster.

Seguendo questi passaggi, fai in modo che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei tuoi cluster GKE. Ciò consente di mantenere un ambiente sicuro per le applicazioni.