אם אתם משתמשים בציים עם אשכולות Google Kubernetes Engine, אתם יכולים להפעיל אימות רציף (CV) כהגדרת ברירת מחדל של הצי. המשמעות היא שכל אשכול GKE חדש ב-Google Cloud שנרשם במהלך יצירת האשכול יכלול את CV. מידע נוסף על הגדרות ברירת המחדל של צי המכשירים זמין במאמר ניהול תכונות ברמת צי המכשירים.
לפני שמתחילים
- מפעילים את Binary Authorization.
מפעילים את GKE API.
מעדכנים את Google Cloud CLI לגרסה 457.0.0 ואילך.
הפעלה ב-Fleet חדש
כדי להפעיל את התכונה CV ב-Fleet חדש, מריצים את הפקודה הבאה:
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
מחליפים את מה שכתוב בשדות הבאים:
-
POLICY_PROJECT_ID: מזהה הפרויקט שבו המדיניות מאוחסנת -
POLICY_ID: מזהה המדיניות
אפשר גם ליצור צי חדש עם כמה כללי מדיניות לפלטפורמה:
gcloud container fleet create \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2
הפעלה ב-Fleet קיים
אם כבר יש לכם צי רכבים, אתם יכולים להפעיל את התכונה 'המרת ערך'. עם זאת, הפעלת CV עבור Fleet קיים לא משפיעה על עומסי עבודה באשכולות קיימים של חברי Fleet. אם רוצים להפעיל את התכונה בעומסי עבודה קיימים, צריך להפעיל אותה באשכולות ספציפיים.
כדי להפעיל CV בצי קיים, מריצים את הפקודה הבאה:
gcloud container fleet update \
--binauthz-evaluation-mode=POLICY_BINDINGS \
--binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID
מחליפים את מה שכתוב בשדות הבאים:
-
POLICY_PROJECT_ID: מזהה הפרויקט שבו המדיניות מאוחסנת -
POLICY_ID: מזהה המדיניות
השבתה
השבתת CV משפיעה רק על עומסי עבודה באשכולות חדשים של חברי Fleet. אם רוצים להשבית את התכונה בעומסי עבודה קיימים, צריך להשבית אותה באשכולות ספציפיים.
כדי להשבית את התכונה 'הגדרת ערכי מהימנות' בכל אשכול חדש של חברים, מריצים את הפקודה הבאה:
gcloud container fleet update \
--binauthz-evaluation-mode=DISABLED