Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הפעלת אכיפה באשכול קיים

במדריך הזה מוסבר איך להפעיל אכיפה של Binary Authorization באשכול Google Kubernetes Engine ‏ (GKE) קיים.

לפני שמתחילים

לפני שמשתמשים במדריך הזה, צריך:

יוצרים אשכול GKE רגיל. מידע נוסף על יצירת אשכולות רגילים זמין במאמרים יצירת אשכול אזורי או יצירת אשכול אזורי.
הפעלת Binary Authorization API.

הפעלת האכיפה

כדי להפעיל את האכיפה, מבצעים את השלבים הבאים:

המסוף

נכנסים לדף GKE במסוף Google Cloud :

עוברים אל GKE.
ברשימה Kubernetes clusters (אשכולות Kubernetes), לוחצים על שם האשכול.
בקטע Security, בשורה של Binary authorization, לוחצים על סמל העריכה ().
בתיבת הדו-שיח Edit Binary Authorization, מסמנים את תיבת הסימון Enable Binary Authorization ולוחצים על Save changes.

gcloud

לגבי אשכול אזורי, מזינים את הפקודה הבאה:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

מחליפים את מה שכתוב בשדות הבאים:

‫NAME: השם של אשכול GKE שרוצים להפעיל בו Binary Authorization.
‫ZONE: האזור שבו נמצא האשכול.

אפשר להפעיל באשכולות גם אכיפה של Binary Authorization וגם מעקב אחרי CV. כדי לשנות את ההגדרות של מעקב אחר ערכי המרות ואכיפה, מגדירים את --binauthz-evaluation-mode לאחד מהערכים הבאים:

‫POLICY_BINDINGS: מפעיל רק מעקב אחר ערכי כרטיסי אשראי ומשבית מדיניות אכיפה קיימת, אם יש כזו
‫PROJECT_SINGLETON_POLICY_ENFORCE: הפעלה של אכיפה בלבד והשבתה של מעקב אחר ערכי המרה אם הוא הופעל קודם
‫POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: מאפשרת גם אכיפה וגם מעקב אחרי תאימות

מידע נוסף על מדיניות CV וניהול אשכולות זמין במאמר בנושא ניהול מדיניות פלטפורמת CV.

לחלופין, אם מדובר באשכול אזורי, מזינים את הפקודה הבאה:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE