Attivare la convalida continua a livello di parco

Se utilizzi i parchi risorse con i tuoi cluster Google Kubernetes Engine, allora puoi abilitare la convalida continua (CV) come configurazione predefinita del parco risorse. Ciò significa che ogni nuovo cluster GKE su Google Cloud registrato durante la creazione del cluster avrà la CV abilitata. Puoi scoprire di più sulla configurazione predefinita del parco risorse in Gestire le funzionalità a livello di parco risorse.

Prima di iniziare

  1. Attiva Autorizzazione binaria.

  2. Abilita l'API GKE.

    Abilita l'API GKE

  3. Aggiorna Google Cloud CLI alla versione 457.0.0 o successive.

  4. Crea le norme della piattaforma.

Abilita su un nuovo parco risorse

Per abilitare la CV su un nuovo parco risorse, esegui il comando seguente:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Sostituisci quanto segue:

  • POLICY_PROJECT_ID: l'ID del progetto in cui è archiviata la norma
  • POLICY_ID: l'ID della norma

Puoi anche creare un nuovo parco risorse con più norme della piattaforma:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Abilita su un parco risorse esistente

Se hai un parco risorse esistente, puoi abilitare la CV. Tuttavia, l'abilitazione della CV per un parco risorse esistente non influisce sui workload nei cluster membri del parco risorse esistenti. Se vuoi che i workload esistenti abbiano la CV abilitata, devi abilitare la funzionalità sui singoli cluster.

Per abilitare la CV su un parco risorse esistente, esegui il comando seguente:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Sostituisci quanto segue:

  • POLICY_PROJECT_ID: l'ID del progetto in cui è archiviata la norma
  • POLICY_ID: l'ID della norma

Disattiva

La disattivazione della CV influisce solo sui workload nei nuovi cluster membri del parco risorse. Se vuoi che i workload esistenti abbiano la CV disabilitata, devi disabilitare la funzionalità sui singoli cluster.

Per disabilitare la CV su tutti i nuovi cluster membri, esegui il comando seguente:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED