בדף הזה מוסבר איך ליצור אשכול ב-Google Kubernetes Engine (GKE) עם Binary Authorization מופעל. מבצעים את השלב הזה בשורת הפקודה באמצעות פקודות gcloud או במסוף Google Cloud . השלב הזה הוא חלק מהגדרת Binary Authorization ל-GKE.
לפני שמתחילים
מפעילים את Binary Authorization.
מפעילים את GKE API.
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, נדרשת ההרשאה
serviceusage.services.enable. אם יצרתם את הפרויקט, סביר להניח שכבר יש לכם את ההרשאה הזו דרך התפקיד 'בעלים' (roles/owner). אחרת, תוכלו לקבל את ההרשאה הזו דרך התפקיד 'אדמין בממשק 'שימוש בשירות'' (roles/serviceusage.serviceUsageAdmin). איך מקצים תפקידיםמגדירים מדיניות פלטפורמה באמצעות Google Cloud המסוף, כלי שורת הפקודה או API בארכיטקטורת REST.
יצירת אשכול עם Binary Authorization מופעל (מעקב אחר פגיעות בלבד)
התכונה Binary Authorization פועלת עם אשכולות Autopilot או Standard. כדי להגדיר מצב הערכה של ניטור בלבד, צריך לציין לפחות מדיניות פלטפורמה מבוססת-בדיקה אחת.
כדי ליצור אשכול עם Binary Authorization שמופעל בו מעקב אחרי CV בלבד:
המסוף
בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.
נכנסים לדף GKE במסוף Google Cloud .
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization. 1. בוחרים באפשרות Audit-only ומגדירים מדיניות פלטפורמה שמבוססת על בדיקת CV שרוצים ש-Binary Authorization יבדוק את התמונות של האשכול שלכם לפיה.
לוחצים על יצירה.
gcloud
מגדירים את Google Cloud פרויקט ברירת המחדל:
gcloud config set project PROJECT_ID
מחליפים את
PROJECT_IDבמזהה הפרויקט שבו רוצים ליצור את האשכול.יצירת אשכול שמשתמש רק במעקב מבוסס-מדיניות של פלטפורמת CV:
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
CLUSTER_NAME: שם של אשכול. -
LOCATION: המיקום – לדוגמה,us-central1אוasia-south1. -
POLICY_PROJECT_ID: מזהה הפרויקט שבו מאוחסנת המדיניות. POLICY_ID: מזהה המדיניות.-
CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
-
יצירת האשכול יכולה להימשך כמה דקות.
יצירת אשכול עם Binary Authorization מופעל (אכיפה בלבד)
התכונה Binary Authorization פועלת עם אשכולות Autopilot או Standard. מדיניות האכיפה מוגדרת למדיניות הפרויקט, שמאפשרת את כל התמונות כברירת מחדל. כדי לשנות את מדיניות הפרויקט, פועלים לפי ההוראות האלה.
כדי ליצור אשכול עם Binary Authorization שמופעל רק עם אכיפה:
המסוף
בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.
נכנסים לדף GKE במסוף Google Cloud .
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות אכיפה בלבד.
לוחצים על יצירה.
gcloud
מגדירים את Google Cloud פרויקט ברירת המחדל:
gcloud config set project PROJECT_ID
מחליפים את
PROJECT_IDבמזהה הפרויקט שבו רוצים ליצור את האשכול.יצירת אשכול שמשתמש רק באכיפת מדיניות:
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
CLUSTER_NAME: שם של אשכול. -
LOCATION: המיקום – לדוגמה,us-central1אוasia-south1. -
CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^ --project=CLUSTER_PROJECT_ID
-
Terraform
בדוגמה הבאה של Terraform נוצר ומגודר אשכול Standard:
מידע נוסף על שימוש ב-Terraform זמין במאמר תמיכה ב-Terraform ב-GKE.
יצירת האשכול יכולה להימשך כמה דקות.
יצירת אשכול עם הפעלת Binary Authorization (מעקב ואכיפה של פגיעות)
התכונה Binary Authorization פועלת עם אשכולות Autopilot או Standard.
לצורך אכיפה, המדיניות מוגדרת כמדיניות הפרויקט, שמאפשרת כברירת מחדל את כל התמונות. כדי לשנות את מדיניות הפרויקט, פועלים לפי ההוראות האלה.
כדי להשתמש בתכונה 'מעקב אחר ערכי מהימנות', צריך לציין לפחות מדיניות פלטפורמה שמבוססת על בדיקת ערכי מהימנות.
כדי ליצור אשכול עם Binary Authorization שמופעל עם מעקב ואכיפה של CV:
המסוף
בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.
נכנסים לדף GKE במסוף Google Cloud .
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות ביקורת ואכיפה ומגדירים מדיניות פלטפורמה שמבוססת על בדיקת CV.
לוחצים על יצירה.
gcloud
מגדירים את Google Cloud פרויקט ברירת המחדל:
gcloud config set project PROJECT_ID
מחליפים את PROJECT_ID במזהה הפרויקט שבו רוצים ליצור את האשכול.
יוצרים אשכול שמשתמש גם באכיפת מדיניות של פרויקט יחיד וגם במעקב מבוסס-מדיניות של פלטפורמת CV:
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
CLUSTER_NAME: שם של אשכול. -
LOCATION: המיקום – לדוגמה,us-central1אוasia-south1. -
POLICY_PROJECT_ID: מזהה הפרויקט שבו מאוחסנת המדיניות. POLICY_ID: מזהה המדיניות.-
CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^ --project=CLUSTER_PROJECT_ID
-
יצירת האשכול יכולה להימשך כמה דקות.
יצירת אשכול CV שמשתמש בכמה מדיניות פלטפורמה (מעקב אחר CV בלבד)
התכונה Binary Authorization פועלת עם אשכולות Autopilot או Standard.
אפשר ליצור אשכולות עם כמה כללי מדיניות של פלטפורמות שקשורים אליהם (מידע נוסף זמין בהפניה ל-GKE API).
המסוף
בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.
נכנסים לדף GKE במסוף Google Cloud .
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות Audit-only (ביקורת בלבד) ומגדירים מדיניות פלטפורמה אחת או יותר שרוצים ש-Binary Authorization תעריך את האשכול שלכם לפיה.
לוחצים על יצירה.
gcloud
מגדירים את Google Cloud פרויקט ברירת המחדל:
gcloud config set project PROJECT_ID
יוצרים את האשכול.
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
CLUSTER_NAME: שם של אשכול. -
LOCATION: המיקום – לדוגמה,us-central1אוasia-south1. -
POLICY_PROJECT_ID_1: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה הראשונה. -
POLICY_ID_1: מזהה המדיניות של המדיניות הראשונה בפלטפורמה. -
POLICY_PROJECT_ID_2: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה השנייה. אפשר לאחסן כמה כללי מדיניות באותו פרויקט או בפרויקטים שונים. -
POLICY_ID_2: מזהה המדיניות של המדיניות השנייה בפלטפורמה. -
CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
-
יצירת האשכול יכולה להימשך כמה דקות.
יצירת אשכול CV שמשתמש בכמה מדיניות פלטפורמה (מעקב ואכיפה של CV)
התכונה Binary Authorization פועלת עם אשכולות Autopilot או Standard.
אפשר ליצור אשכולות עם כמה כללי מדיניות של פלטפורמות שקשורים אליהם (מידע נוסף זמין בהפניה ל-GKE API).
המסוף
בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.
נכנסים לדף GKE במסוף Google Cloud .
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות ביקורת ואכיפה ומגדירים מדיניות למעקב אחרי שימוש ב-CV.
לוחצים על יצירה.
gcloud
מגדירים את Google Cloud פרויקט ברירת המחדל:
gcloud config set project PROJECT_ID
יוצרים אשכול שמשתמש גם באכיפת מדיניות של פרויקט יחיד וגם במעקב מבוסס-מדיניות של פלטפורמת CV:
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
CLUSTER_NAME: שם של אשכול. -
LOCATION: המיקום – לדוגמה,us-central1אוasia-south1. -
POLICY_PROJECT_ID_1: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה הראשונה. -
POLICY_ID_1: מזהה המדיניות של המדיניות הראשונה בפלטפורמה. -
POLICY_PROJECT_ID_2: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה השנייה. אפשר לאחסן כמה כללי מדיניות באותו פרויקט או בפרויקטים שונים. -
POLICY_ID_2: מזהה המדיניות של המדיניות השנייה בפלטפורמה. -
CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
Linux, macOS או Cloud Shell
gcloud beta container clusters create CLUSTER_NAME \ --location=LOCATION \ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \ --project=CLUSTER_PROJECT_ID
Windows (PowerShell)
gcloud beta container clusters create CLUSTER_NAME ` --location=LOCATION ` --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ` --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ` --project=CLUSTER_PROJECT_ID
Windows (cmd.exe)
gcloud beta container clusters create CLUSTER_NAME ^ --location=LOCATION ^ --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^ --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^ --project=CLUSTER_PROJECT_ID
-
יצירת האשכול יכולה להימשך כמה דקות.
אימות שהרשאת Binary Authorization מופעלת
כדי לוודא שהתכונה 'אישור בינארי' מופעלת באשכול:
המסוף
פותחים את הדף GKE במסוף Google Cloud .
בקטע Kubernetes clusters (אשכולות Kubernetes), מוצאים את האשכול.
בקטע אבטחה, מוודאים שהאפשרות אישור בינארי מוגדרת למופעל.
gcloud
כדי להציג את קישורי המדיניות של האשכול:
gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:
שימו לב: יכול להיות שיופיע מידע נוסף אחרי רשימת קשירת המדיניות.
המאמרים הבאים
- מידע נוסף על תיקוף רציף ב-Binary Authorization (גרסת Preview)
- מידע נוסף על אכיפת Binary Authorization