AWS용 GKE에 Binary Authorization을 사용 설정하려면 다음 단계를 수행하세요.
프로젝트에서 Binary Authorization API를 사용 설정합니다.
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID
PROJECT_ID
를 Google Cloud 프로젝트의 ID로 바꿉니다.Binary Authorization 에이전트와 연결된 Kubernetes 서비스 계정에
binaryauthorization.policyEvaluator
역할을 부여합니다.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"
클러스터를 만들거나 업데이트할 때 Binary Authorization을 사용 설정합니다.
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
플래그가 Binary Authorization을 사용 설정하므로 이 플래그를 포함해야 합니다.클러스터 만들기
gcloud container aws clusters create CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
CLUSTER_NAME
을 클러스터 이름으로 바꿉니다.클러스터 업데이트
gcloud container aws clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
CLUSTER_NAME
을 클러스터 이름으로 바꿉니다.
위의 단계를 따르면 신뢰할 수 있고 확인된 이미지만 GKE 클러스터에서 Kubernetes 컨테이너를 만드는 데 사용됩니다. 이렇게 하면 애플리케이션의 안전한 환경을 유지할 수 있습니다.