Para ativar a autorização binária para clusters anexados do GKE, siga estas etapas:
Ative a API Binary Authorization no projeto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSubstitua
PROJECT_IDpelo ID do seu projetoGoogle Cloud .Conceda o papel
binaryauthorization.policyEvaluatorà conta de serviço do Kubernetes associada ao agente da Autorização binária:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Ative a Autorização binária ao registrar ou atualizar um cluster.
Registrar um cluster
Para ativar a autorização binária ao registrar um cluster, use o comando
gcloud container attached clusters register. Siga as instruções anexe seu cluster em conformidade com a CNCF, e incluir o argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESubstitua
CLUSTER_NAMEpelo nome do cluster.Atualize um cluster
Para ativar a autorização binária ao atualizar um cluster, use o comando
gcloud container attached clusters update. Siga as instruções atualize seu cluster em conformidade com a CNCF; e incluir o argumento opcional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESubstitua
CLUSTER_NAMEpelo nome do cluster.
Siga estas etapas para garantir que apenas imagens confiáveis e verificadas sejam usadas para criar contêineres do Kubernetes nos clusters do GKE. ajudando a manter um ambiente seguro para os aplicativos.
Configurar políticas
Ativar a Autorização binária por si só não protege seu cluster automaticamente. Por padrão, ela permite que todas as imagens de contêiner sejam implantadas se nenhuma política estiver configurada. Isso significa que, para proteger seu cluster de maneira eficaz, você precisa definir e aplicar uma política que especifique quais imagens são permitidas. Para aprender a configurar uma política de autorização binária, consulte Configurar uma política usando a Google Cloud CLI.