GKE 연결 클러스터에 Binary Authorization을 사용 설정하려면 다음 단계를 수행하세요.
프로젝트에서 Binary Authorization API를 사용 설정합니다.
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDPROJECT_ID를 Google Cloud 프로젝트의 ID로 바꿉니다.Binary Authorization 에이전트와 연결된 Kubernetes 서비스 계정에
binaryauthorization.policyEvaluator역할을 부여합니다.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"클러스터를 등록하거나 업데이트할 때 Binary Authorization을 사용 설정합니다.
클러스터 등록
클러스터를 등록할 때 Binary Authorization을 사용하도록 설정하려면
gcloud container attached clusters register명령어를 사용합니다. CNCF 호환 클러스터 연결의 지침을 따르고 다음과 같이 선택적 인수--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE를 포함합니다.gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCECLUSTER_NAME을 클러스터 이름으로 바꿉니다.클러스터 업데이트
클러스터를 업데이트할 때 Binary Authorization을 사용하도록 설정하려면
gcloud container attached clusters update명령어를 사용합니다. CNCF 호환 클러스터 업데이트의 지침을 따르고 다음과 같이 선택적 인수--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE를 포함합니다.gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCECLUSTER_NAME을 클러스터 이름으로 바꿉니다.
위의 단계를 따르면 신뢰할 수 있고 확인된 이미지만 GKE 클러스터에서 Kubernetes 컨테이너를 만드는 데 사용됩니다. 이렇게 하면 애플리케이션의 안전한 환경을 유지할 수 있습니다.