Binary Authorization을 사용 설정하는 방법

AWS용 GKE에 Binary Authorization을 사용 설정하려면 다음 단계를 수행하세요.

1. 프로젝트에서 Binary Authorization API를 사용 설정합니다.

   gcloud services enable binaryauthorization.googleapis.com \
     --project=PROJECT_ID
   

   PROJECT_ID를Google Cloud 프로젝트 ID로 바꿉니다.

2. Binary Authorization 에이전트와 연결된 Kubernetes 서비스 계정에 binaryauthorization.policyEvaluator 역할을 부여합니다.

   gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
     --role="roles/binaryauthorization.policyEvaluator"
   

3. 클러스터를 만들거나 업데이트할 때 Binary Authorization을 사용 설정합니다. --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE 플래그가 Binary Authorization을 사용 설정하므로 이 플래그를 포함해야 합니다.

   클러스터 만들기

   gcloud container aws clusters create CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

   클러스터 업데이트

   gcloud container aws clusters update CLUSTER_NAME \
     --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
   

   CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

위의 단계를 따르면 신뢰할 수 있고 확인된 이미지만 GKE 클러스터에서 Kubernetes 컨테이너를 만드는 데 사용됩니다. 이렇게 하면 애플리케이션의 안전한 환경을 유지할 수 있습니다.