如何启用 Binary Authorization

如需启用 Binary Authorization for GKE on AWS,请执行以下步骤:

  1. 在您的项目中启用 Binary Authorization API:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    PROJECT_ID 替换为您的 Google Cloud 项目的 ID。

  2. binaryauthorization.policyEvaluator 角色授予与 Binary Authorization 代理关联的 Kubernetes 服务账号:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. 在创建或更新集群时启用 Binary Authorization。请务必添加 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE 标志,因为此标志会启用 Binary Authorization:

    创建集群

    gcloud container aws clusters create CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME 替换为您的集群名称。

    更新集群

    gcloud container aws clusters update CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME 替换为您的集群名称。

按照以下步骤操作,可确保仅使用可信和经过验证的映像在 GKE 集群中创建 Kubernetes 容器。这有助于为您的应用维护安全的环境。