Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יצירת אשכול

בדף הזה מוסבר איך ליצור אשכול ב-Google Kubernetes Engine ‏ (GKE) עם Binary Authorization מופעל. מבצעים את השלב הזה בשורת הפקודה באמצעות פקודות gcloud או במסוף Google Cloud . השלב הזה הוא חלק מהגדרת Binary Authorization ל-GKE.

לפני שמתחילים

מפעילים את Binary Authorization.
מפעילים את GKE API.
תפקידים שנדרשים להפעלת ממשקי API
כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים
להפעלת ה-API

מגדירים מדיניות פלטפורמה באמצעות Google Cloud המסוף, כלי שורת הפקודה או API בארכיטקטורת REST.

יצירת אשכול עם Binary Authorization מופעל (מעקב אחר פגיעות בלבד)

התכונה 'אישור בינארי' פועלת עם אשכולות במצב Autopilot או במצב Standard. כדי להגדיר מצב הערכה של ניטור בלבד, צריך לציין לפחות מדיניות פלטפורמה מבוססת-בדיקה אחת.

כדי ליצור אשכול עם Binary Authorization מופעל עם ניטור CV בלבד:

המסוף

בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.

נכנסים לדף GKE במסוף Google Cloud .

מעבר אל GKE
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization. 1. בוחרים באפשרות Audit-only ומגדירים מדיניות פלטפורמה שמבוססת על בדיקת CV שרוצים ש-Binary Authorization יבדוק את התמונות של האשכול שלכם לפיה.
לוחצים על יצירה.

gcloud

מגדירים את Google Cloud פרויקט ברירת המחדל:
```
gcloud config set project PROJECT_ID
```
מחליפים את PROJECT_ID במזהה הפרויקט שבו רוצים ליצור את האשכול.
יצירת אשכול שמשתמש רק במעקב מבוסס-מדיניות של פלטפורמת CV:

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- ‫CLUSTER_NAME: שם של אשכול.
- ‫LOCATION: המיקום – לדוגמה, us-central1 או asia-south1.
- ‫POLICY_PROJECT_ID: מזהה הפרויקט שבו מאוחסנת המדיניות.
- POLICY_ID: מזהה המדיניות.
- ‫CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
‫Linux,‏ macOS או Cloud Shell

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
‏Windows (PowerShell)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows‏ (cmd.exe)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

יצירת האשכול יכולה להימשך כמה דקות.

יצירת אשכול עם Binary Authorization מופעל (אכיפה בלבד)

התכונה 'אישור בינארי' פועלת עם אשכולות במצב Autopilot או במצב Standard. מדיניות האכיפה מוגדרת למדיניות הפרויקט, שמאפשרת את כל התמונות כברירת מחדל. כדי לשנות את מדיניות הפרויקט, פועלים לפי ההוראות האלה.

כדי ליצור אשכול עם Binary Authorization שמופעל רק עם אכיפה:

המסוף

בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.

נכנסים לדף GKE במסוף Google Cloud .

מעבר אל GKE
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות אכיפה בלבד.
לוחצים על יצירה.

gcloud

מגדירים את Google Cloud פרויקט ברירת המחדל:
```
gcloud config set project PROJECT_ID
```
מחליפים את PROJECT_ID במזהה הפרויקט שבו רוצים ליצור את האשכול.
יצירת אשכול שמשתמש רק באכיפת מדיניות:

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- ‫CLUSTER_NAME: שם של אשכול.
- ‫LOCATION: המיקום – לדוגמה, us-central1 או asia-south1.
- ‫CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
‫Linux,‏ macOS או Cloud Shell

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID
```
‏Windows (PowerShell)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID
```
Windows‏ (cmd.exe)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID
```

Terraform

בדוגמה הבאה של Terraform נוצר ומגודר אשכול Standard:

resource "google_container_cluster" "default" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }
}

מידע נוסף על שימוש ב-Terraform זמין במאמר תמיכה ב-Terraform ב-GKE.

יצירת האשכול יכולה להימשך כמה דקות.

יצירת אשכול עם Binary Authorization מופעל (מעקב ואכיפה של חולשות אבטחה)

התכונה 'אישור בינארי' פועלת עם אשכולות במצב Autopilot או במצב Standard.

לצורך אכיפה, המדיניות מוגדרת כמדיניות הפרויקט, שמאפשרת כברירת מחדל את כל התמונות. כדי לשנות את מדיניות הפרויקט, פועלים לפי ההוראות האלה.

כדי להשתמש בתכונה 'מעקב אחר ערכי מהימנות', צריך לציין לפחות מדיניות פלטפורמה שמבוססת על בדיקת ערכי מהימנות.

כדי ליצור אשכול עם Binary Authorization שמופעל עם מעקב ואכיפה של CV:

המסוף

בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.

נכנסים לדף GKE במסוף Google Cloud .

מעבר אל GKE
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות ביקורת ואכיפה ומגדירים מדיניות פלטפורמה שמבוססת על בדיקת ערכי CV.
לוחצים על יצירה.

gcloud

מגדירים את Google Cloud פרויקט ברירת המחדל:
```
gcloud config set project PROJECT_ID
```
מחליפים את PROJECT_ID במזהה הפרויקט שבו רוצים ליצור את האשכול.
יוצרים אשכול שמשתמש גם באכיפת מדיניות של פרויקט יחיד וגם במעקב מבוסס-מדיניות של פלטפורמת CV:

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- ‫CLUSTER_NAME: שם של אשכול.
- ‫LOCATION: המיקום – לדוגמה, us-central1 או asia-south1.
- ‫POLICY_PROJECT_ID: מזהה הפרויקט שבו מאוחסנת המדיניות.
- POLICY_ID: מזהה המדיניות.
- ‫CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
‫Linux,‏ macOS או Cloud Shell

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID
```
‏Windows (PowerShell)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID
```
Windows‏ (cmd.exe)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID
```

יצירת האשכול יכולה להימשך כמה דקות.

יצירת אשכול CV שמשתמש בכמה מדיניות פלטפורמה (מעקב אחר CV בלבד)

התכונה 'אישור בינארי' פועלת עם אשכולות במצב Autopilot או במצב Standard.

אפשר ליצור אשכולות עם כמה כללי מדיניות של פלטפורמות שקשורים אליהם (מידע נוסף זמין בהפניה ל-GKE API).

המסוף

בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.

נכנסים לדף GKE במסוף Google Cloud .

מעבר אל GKE
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר בנושא יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות Audit-only (ביקורת בלבד) ומגדירים מדיניות פלטפורמה אחת או יותר שרוצים ש-Binary Authorization תעריך את האשכול שלכם לפיה.
לוחצים על יצירה.

gcloud

מגדירים את Google Cloud פרויקט ברירת המחדל:
```
gcloud config set project PROJECT_ID
```
יוצרים את האשכול.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- ‫CLUSTER_NAME: שם של אשכול.
- ‫LOCATION: המיקום – לדוגמה, us-central1 או asia-south1.
- ‫POLICY_PROJECT_ID_1: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה הראשונה.
- ‫POLICY_ID_1: מזהה המדיניות של המדיניות הראשונה בפלטפורמה.
- ‫POLICY_PROJECT_ID_2: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה השנייה. אפשר לאחסן כמה כללי מדיניות באותו פרויקט או בפרויקטים שונים.
- ‫POLICY_ID_2: מזהה המדיניות של המדיניות השנייה בפלטפורמה.
- ‫CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
‫Linux,‏ macOS או Cloud Shell

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
‏Windows (PowerShell)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows‏ (cmd.exe)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

יצירת האשכול יכולה להימשך כמה דקות.

יצירת אשכול CV שמשתמש בכמה מדיניות פלטפורמה (מעקב ואכיפה של CV)

התכונה 'אישור בינארי' פועלת עם אשכולות במצב Autopilot או במצב Standard.

אפשר ליצור אשכולות עם כמה כללי מדיניות של פלטפורמות שקשורים אליהם (מידע נוסף זמין בהפניה ל-GKE API).

המסוף

בשלבים הבאים מוסבר איך להגדיר אשכול רגיל.

נכנסים לדף GKE במסוף Google Cloud .

מעבר אל GKE
לוחצים על יצירת אשכול. מזינים ערכים לשדות ברירת המחדל כמו שמתואר במאמר יצירת אשכול אזורי.
בתפריט הניווט, לוחצים על אבטחה.
בוחרים באפשרות Binary Authorization.
בוחרים באפשרות ביקורת ואכיפה ומגדירים מדיניות למעקב אחרי שימוש בכרטיסים וירטואליים.
לוחצים על יצירה.

gcloud

מגדירים את Google Cloud פרויקט ברירת המחדל:
```
gcloud config set project PROJECT_ID
```
יוצרים אשכול שמשתמש גם באכיפת מדיניות של פרויקט יחיד וגם במעקב מבוסס-מדיניות של פלטפורמת CV:

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
- ‫CLUSTER_NAME: שם של אשכול.
- ‫LOCATION: המיקום – לדוגמה, us-central1 או asia-south1.
- ‫POLICY_PROJECT_ID_1: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה הראשונה.
- ‫POLICY_ID_1: מזהה המדיניות של המדיניות הראשונה בפלטפורמה.
- ‫POLICY_PROJECT_ID_2: מזהה הפרויקט שבו מאוחסנת מדיניות הפלטפורמה השנייה. אפשר לאחסן כמה כללי מדיניות באותו פרויקט או בפרויקטים שונים.
- ‫POLICY_ID_2: מזהה המדיניות של המדיניות השנייה בפלטפורמה.
- ‫CLUSTER_PROJECT_ID: מזהה הפרויקט של האשכול.
מריצים את הפקודה הבאה:
‫Linux,‏ macOS או Cloud Shell

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID
```
‏Windows (PowerShell)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID
```
Windows‏ (cmd.exe)

הערה: חשוב לוודא שהפעלתם את Google Cloud CLI עם אימות ופרויקט באמצעות אחת מהפקודות הבאות: gcloud init; או gcloud auth login ו- gcloud config set project.
```
gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID
```

יצירת האשכול יכולה להימשך כמה דקות.

אימות שהרשאת Binary Authorization מופעלת

כדי לוודא שהתכונה 'אישור בינארי' מופעלת באשכול:

המסוף

פותחים את הדף GKE במסוף Google Cloud .

מעבר אל GKE
בקטע Kubernetes clusters (אשכולות Kubernetes), מוצאים את האשכול.
בקטע אבטחה, מוודאים שהאפשרות אישור בינארי מוגדרת למופעל.

gcloud

כדי להציג את קישורי המדיניות של האשכול:

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

שימו לב: יכול להיות שיופיע מידע נוסף אחרי רשימת ההתאמות למדיניות.

יצירת אשכול קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

לפני שמתחילים

יצירת אשכול עם Binary Authorization מופעל (מעקב אחר פגיעות בלבד)

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

יצירת אשכול עם Binary Authorization מופעל (אכיפה בלבד)

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

Terraform

יצירת אשכול עם Binary Authorization מופעל (מעקב ואכיפה של חולשות אבטחה)

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

יצירת אשכול CV שמשתמש בכמה מדיניות פלטפורמה (מעקב אחר CV בלבד)

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

יצירת אשכול CV שמשתמש בכמה מדיניות פלטפורמה (מעקב ואכיפה של CV)

המסוף

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

אימות שהרשאת Binary Authorization מופעלת

המסוף

gcloud

המאמרים הבאים

יצירת אשכול