如要為 AWS 上的 GKE 啟用二進位授權,請按照下列步驟操作:
在專案中啟用 Binary Authorization API:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID
將
PROJECT_ID
替換為專案 ID。Google Cloud將
binaryauthorization.policyEvaluator
角色授予與 Binary Authorization 代理程式相關聯的 Kubernetes 服務帳戶:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"
建立或更新叢集時,啟用二進位授權。請務必加入
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
旗標,因為這個旗標會啟用二進位授權:建立叢集
gcloud container aws clusters create CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
將
CLUSTER_NAME
替換為叢集名稱。更新叢集
gcloud container aws clusters update CLUSTER_NAME \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
將
CLUSTER_NAME
替換為叢集名稱。
按照這些步驟操作,即可確保只有經過驗證的受信任映像檔,可用於在 GKE 叢集中建立 Kubernetes 容器。這有助於維護應用程式的安全環境。