如何啟用二進位授權

如要為 AWS 上的 GKE 啟用二進位授權,請按照下列步驟操作:

  1. 在專案中啟用 Binary Authorization API:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    PROJECT_ID 替換為專案 ID。Google Cloud

  2. binaryauthorization.policyEvaluator 角色授予與 Binary Authorization 代理程式相關聯的 Kubernetes 服務帳戶:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. 建立或更新叢集時,啟用二進位授權。請務必加入 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE 旗標,因為這個旗標會啟用二進位授權:

    建立叢集

    gcloud container aws clusters create CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME 替換為叢集名稱。

    更新叢集

    gcloud container aws clusters update CLUSTER_NAME \
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME 替換為叢集名稱。

按照這些步驟操作,即可確保只有經過驗證的受信任映像檔,可用於在 GKE 叢集中建立 Kubernetes 容器。這有助於維護應用程式的安全環境。