Kontinuierliche Validierung (CV) auf Flottenebene aktivieren

Wenn Sie Flotten mit Ihren Google Kubernetes Engine-Clustern verwenden, können Sie die kontinuierliche Validierung (CV) als Flotten-Standardkonfiguration aktivieren. Dies bedeutet, dass für jeden neuen GKE-Cluster in Google Cloud, der während der Clustererstellung registriert wird, CV im Cluster aktiviert ist. Weitere Informationen zur Standardkonfiguration für Flotten finden Sie unter Features auf Flottenebene verwalten.

Hinweise

  1. Binärautorisierung aktivieren

  2. Aktivieren Sie die GKE API.

    GKE API aktivieren

  3. Aktualisieren Sie die Google Cloud CLI auf Version 457.0.0 oder höher.

  4. Plattformrichtlinien erstellen

Auf einer neuen Flotte aktivieren

Führen Sie den folgenden Befehl aus, um CV für eine neue Flotte zu aktivieren:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ersetzen Sie Folgendes:

  • POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
  • POLICY_ID: die Richtlinien-ID

Sie können auch eine neue Flotte mit mehreren Plattformrichtlinien erstellen:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Für eine vorhandene Flotte aktivieren

Wenn Sie bereits eine Flotte haben, können Sie CV aktivieren. Das Aktivieren von CV für eine vorhandene Flotte wirkt sich jedoch nicht auf Arbeitslasten in vorhandenen Flottenmitglieder-Clustern aus. Wenn Sie für vorhandene Arbeitslasten CV aktivieren möchten, müssen Sie die Funktion in den einzelnen Clustern aktivieren.

Führen Sie den folgenden Befehl aus, um CV für eine vorhandene Flotte zu aktivieren:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ersetzen Sie Folgendes:

  • POLICY_PROJECT_ID: die ID des Projekts, in dem die Richtlinie gespeichert ist
  • POLICY_ID: die Richtlinien-ID

Deaktivieren

Das Deaktivieren von CV wirkt sich nur auf Arbeitslasten in neuen Flottenmitglieder-Clustern aus. Wenn Sie möchten, dass CV für bestehende Arbeitslasten deaktiviert wird, müssen Sie das Feature für einzelne Cluster deaktivieren.

Führen Sie den folgenden Befehl aus, um die CV für alle neuen Mitgliedscluster zu deaktivieren:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED