Binary Authorization을 사용 설정하는 방법

AWS용 GKE에 Binary Authorization을 사용 설정하려면 다음 단계를 수행하세요.

  1. 프로젝트에서 Binary Authorization API를 사용 설정합니다.

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    PROJECT_ID를 Google Cloud 프로젝트의 ID로 바꿉니다.

  2. Binary Authorization 에이전트와 연결된 Kubernetes 서비스 계정에 binaryauthorization.policyEvaluator 역할을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. 클러스터를 만들거나 업데이트할 때 Binary Authorization을 사용 설정합니다. --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE 플래그가 Binary Authorization을 사용 설정하므로 이 플래그를 포함해야 합니다.

    클러스터 만들기

    gcloud container aws clusters create CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

    클러스터 업데이트

    gcloud container aws clusters update CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME을 클러스터 이름으로 바꿉니다.

위의 단계를 따르면 신뢰할 수 있고 확인된 이미지만 GKE 클러스터에서 Kubernetes 컨테이너를 만드는 데 사용됩니다. 이렇게 하면 애플리케이션의 안전한 환경을 유지할 수 있습니다.