Abilitazione dell'applicazione su un cluster esistente

Questa guida mostra come abilitare l'applicazione di Autorizzazione binaria su un cluster Google Kubernetes Engine (GKE) esistente.

Prima di iniziare

Prima di utilizzare questa guida:

  1. Crea un cluster GKE standard. Per saperne di più sulla creazione di cluster standard, vedi Creare un cluster a livello di zona o Creare un cluster a livello di regione.
  2. Abilita l'API Autorizzazione binaria.

Abilitare l'applicazione

Per abilitare l'applicazione:

Console

  1. Nella Google Cloud console, vai alla pagina GKE:

    Vai a GKE.

  2. Nell'elenco Cluster Kubernetes, fai clic sul nome del cluster.

  3. In Sicurezza, nella riga relativa a Autorizzazione binaria, fai clic sull' icona di modifica ().

  4. Nella finestra di dialogo Modifica autorizzazione binaria, seleziona la casella di controllo Abilita autorizzazione binaria e fai clic su Salva modifiche.

gcloud

Per un cluster a livello di zona, inserisci il seguente comando:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE su cui vuoi abilitare Autorizzazione binaria.
  • ZONE: la zona in cui risiede il cluster.

I cluster possono avere sia l'applicazione di Autorizzazione binaria sia il monitoraggio CV abilitati. Per modificare le impostazioni di monitoraggio e applicazione di CV, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: abilita solo il monitoraggio CV e disabilita una policy di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: abilita solo l'applicazione e disabilita il monitoraggio CV se era stato abilitato in precedenza
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: abilita sia l'applicazione sia il monitoraggio CV

Per saperne di più sulla policy CV e sulla gestione dei cluster, vedi Gestire le policy della piattaforma CV.

In alternativa, per un cluster a livello di regione, inserisci il seguente comando:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Sostituisci quanto segue:

  • NAME: il nome del cluster GKE su cui vuoi abilitare Autorizzazione binaria.
  • REGION: la regione in cui risiede il cluster.

I cluster possono avere sia l'applicazione di Autorizzazione binaria sia il monitoraggio CV abilitati. Per modificare le impostazioni di monitoraggio e applicazione di CV, imposta --binauthz-evaluation-mode su uno dei seguenti valori:

  • POLICY_BINDINGS: abilita solo il monitoraggio CV e disabilita una policy di applicazione esistente, se presente
  • PROJECT_SINGLETON_POLICY_ENFORCE: abilita solo l'applicazione e disabilita il monitoraggio CV se era stato abilitato in precedenza
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: abilita sia l'applicazione sia il monitoraggio CV

Per saperne di più sulla policy CV e sulla gestione dei cluster, vedi Gestire le policy della piattaforma CV.

Passaggi successivi