如需启用 Binary Authorization for GKE on AWS,请执行以下步骤:
在您的项目中启用 Binary Authorization API:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID将
PROJECT_ID替换为您的Google Cloud 项目的 ID。将
binaryauthorization.policyEvaluator角色授予与 Binary Authorization 代理关联的 Kubernetes 服务账号:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"在创建或更新集群时启用 Binary Authorization。请务必添加
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE标志,因为此标志会启用 Binary Authorization:创建集群
gcloud container aws clusters create CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE将
CLUSTER_NAME替换为您的集群名称。更新集群
gcloud container aws clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE将
CLUSTER_NAME替换为您的集群名称。
按照以下步骤操作,可确保仅使用可信和经过验证的映像在 GKE 集群中创建 Kubernetes 容器。这有助于为您的应用维护安全的环境。