Einrichtung für lokale Cluster

Workload Identity verwenden

1. Geben Sie das Flotten-Hostprojekt an:

   export PROJECT_ID=PROJECT_ID
   

2. Legen Sie die Mitglieds-ID der Flotte auf Ihre Cluster-ID fest:

   Die Mitglieds-ID wird in der Spalte NAME aufgeführt, wenn Sie den Befehl gcloud container fleet memberships list ausführen.

   export MEMBERSHIP_ID=CLUSTER_NAME
   

Dienstkontoschlüssel verwenden

1. Geben Sie das Flotten-Hostprojekt an:

   export PROJECT_ID=PROJECT_ID
   

   Ersetzen Sie PROJECT_ID durch das Google Cloud -Projekt im Abschnitt gkeConnect Ihrer Konfigurationsdatei für den Nutzercluster.

2. Geben Sie den Pfad der kubeconfig-Datei des Nutzerclusters an:

   export KUBECONFIG=PATH
   

   Ersetzen Sie PATH durch den Pfad der kubeconfig-Datei des Nutzerclusters.

3. Wählen Sie einen Namen für das Zugriffsdienstkonto der Binary Authorization API:

   export SA_NAME=SERVICE_ACCOUNT_NAME
   

   Ersetzen Sie SERVICE_ACCOUNT_NAME durch den Dienstkontonamen Ihrer Wahl. Das Binärautorisierungsmodul verwendet dieses Dienstkonto, um auf die Binary Authorization API zuzugreifen.

4. Geben Sie den Pfad zur Dienstkonto-Schlüsseldatei an, die Sie später in dieser Anleitung herunterladen:

   export SA_JSON_PATH=SA_KEY_FILE_PATH
   

   Ersetzen Sie SA_KEY_FILE_PATH durch den Pfad zur JSON-Schlüsseldatei für das Dienstkonto.

Workload Identity verwenden

Mit Fleet Workload Identity können sich die Arbeitslasten in Ihrem Cluster bei Google authentifizieren, ohne dass Sie Dienstkontoschlüssel herunterladen, manuell rotieren und verwalten müssen. Google Cloud Weitere Informationen zur Funktionsweise von Workload Identity für Flotten und dessen Vorteilen finden Sie unter Workload Identity für Flotten verwenden.

1. Weisen Sie dem Kubernetes-Dienstkonto in Ihrem Flotten-Hostprojekt die Rolle binaryauthorization.policyEvaluator zu:

   gcloud projects add-iam-policy-binding ${PROJECT_ID} \
       --member="serviceAccount:${PROJECT_ID}.svc.id.goog[binauthz-system/binauthz-admin]" \
       --role="roles/binaryauthorization.policyEvaluator"
   

2. Erstellen Sie ein Arbeitsverzeichnis:

   1. Erstellen Sie ein Verzeichnis mit dem Namen binauthz.

   2. Wechseln Sie in das Verzeichnis.

3. Laden Sie die Datei manifest-wi-0.2.6.yaml.tmpl herunter, mit der Sie das Binärautorisierungsmodul in Ihrem Nutzercluster installieren:

   Bare Metal

   gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .
   

   VMware

   gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .
   

4. Ersetzen Sie die Umgebungsvariablen in der Vorlage:

   envsubst < manifest-wi-0.2.6.yaml.tmpl > manifest-0.2.6.yaml
   

5. Installieren Sie das Binärautorisierungsmodul in Ihrem Nutzercluster:

   kubectl apply -f manifest-0.2.6.yaml
   

6. Prüfen Sie, ob die Bereitstellung erstellt wurde:

   kubectl get pod --namespace binauthz-system
   

   Sie sehen den Pod binauthz-module-deployment-* mit dem Status Running und 1/1 Pods als bereit, ähnlich dieser Ausgabe:

   NAME                                          READY   STATUS    RESTARTS   AGE
   binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s
   

Dienstkontoschlüssel verwenden

1. Legen Sie das Standardprojekt für die Google Cloud CLI fest:

   gcloud config set project ${PROJECT_ID}
   

2. Erstellen Sie ein Zugriffsdienstkonto für die Binary Authorization API:

   gcloud iam service-accounts create ${SA_NAME}
   

3. Weisen Sie dem Zugriffsdienstkonto für die Binary Authorization API Ihres Flotten-Hostprojekts die Rolle binaryauthorization.policyEvaluator zu:

   gcloud projects add-iam-policy-binding ${PROJECT_ID}\
       --member="serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
       --role="roles/binaryauthorization.policyEvaluator"
   

4. Erstellen Sie ein Arbeitsverzeichnis:

   1. Erstellen Sie ein Verzeichnis mit dem Namen binauthz.

   2. Wechseln Sie in das Verzeichnis.

5. Laden Sie die Datei manifest-0.2.6.yaml herunter, mit der Sie das Binärautorisierungsmodul in Ihrem Nutzercluster installieren:

   Bare Metal

   gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-0.2.6.yaml .
   

   VMware

   gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-0.2.6.yaml .
   

6. Erstellen Sie eine YAML-Datei für den Namespace binauthz-system.

   Kopieren Sie Folgendes in eine Datei mit dem Namen namespace.yaml:

   apiVersion: v1
   kind: Namespace
   metadata:
     labels:
       control-plane: binauthz-controller
     name: binauthz-system
   

7. Erstellen Sie den Namespace in Ihrem Nutzercluster:

   kubectl apply -f namespace.yaml
   

   Die Ausgabe sollte in etwa so aussehen:

   namespace/binauthz-system created
   

8. Laden Sie eine JSON-Schlüsseldatei für Ihr Dienstkonto herunter.

   gcloud iam service-accounts keys create ${SA_JSON_PATH} --iam-account ${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com
   

9. Speichern Sie den Dienstkontoschlüssel als Kubernetes-Secret in Ihrem Nutzercluster:

   kubectl --namespace binauthz-system create secret generic binauthz-sa --from-file=key.json=${SA_JSON_PATH}
   

10. Installieren Sie das Binärautorisierungsmodul in Ihrem Nutzercluster:

    kubectl apply -f manifest-0.2.6.yaml
    

11. Prüfen Sie, ob die Bereitstellung erstellt wurde:

    kubectl get pod --namespace binauthz-system
    

    Sie sehen den Pod binauthz-module-deployment-* mit dem Status Running und 1/1 Pods als bereit, ähnlich dieser Ausgabe:

    NAME                                          READY   STATUS    RESTARTS   AGE
    binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s
    

Console

1. Rufen Sie in der Google Cloud -Console die Seite „Binärautorisierung“ auf.

   Zur Binärautorisierung

2. Wählen Sie die Flotten-Hostprojekt-ID aus.

3. Klicken Sie auf Richtlinie bearbeiten.

4. Wählen Sie unter Projektstandardregel die Option Alle Images zulassen aus.

5. Klicken Sie auf Save Policy (Richtlinie speichern).

gcloud

1. Legen Sie die PROJECT_ID für Ihr Flotten-Hostprojekt fest. Sie finden diese Projekt-ID in der Konfigurationsdatei des Nutzerclusters im Feld gkeConnect.

   export PROJECT_ID=PROJECT_ID
   

   Legen Sie das Standardprojekt Google Cloud fest.

   gcloud config set project ${PROJECT_ID}
   

2. Exportieren Sie die YAML-Richtliniendatei in Ihr lokales System:

   gcloud container binauthz policy export  > policy.yaml
   

   Ihre YAML-Datei sieht so aus:

   defaultAdmissionRule:
     enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
     evaluationMode: ALWAYS_ALLOW
   globalPolicyEvaluationMode: ENABLE
   name: projects/<var>PROJECT_ID</var>/policy
   

3. policy.yaml bearbeiten

4. Setzen Sie evaluationMode auf ALWAYS_ALLOW.

5. Wenn die Datei den Block requireAttestationsBy enthält, löschen Sie diesen Block.

6. Speichern Sie die Datei.

7. Importieren Sie policy.yaml so:

   gcloud container binauthz policy import policy.yaml
   

Wenn Sie ein ausgenommenes Bild auf die Zulassungsliste setzen möchten, fügen Sie der Richtliniendatei Folgendes hinzu:

admissionWhitelistPatterns:
  - namePattern: EXEMPT_IMAGE_PATH

Ersetzen Sie EXEMPT_IMAGE_PATH durch den Pfad zu einem Image, das ausgenommen werden soll. Wenn Sie weitere Bilder ausnehmen möchten, fügen Sie zusätzliche - namePattern-Einträge hinzu. Weitere Informationen zu admissionWhitelistPatterns.

Console

1. Rufen Sie in der Google Cloud -Console die Seite „Binärautorisierung“ auf.

   Zur Binärautorisierung

2. Achten Sie darauf, dass Ihr Flotten-Hostprojekt ausgewählt ist.

3. Klicken Sie auf Richtlinie bearbeiten.

4. Wählen Sie unter Projektstandardregel die Option Alle Images ablehnen aus.

5. Klicken Sie auf Richtlinie speichern.

gcloud

1. Legen Sie die PROJECT_ID auf die ID des Flotten-Hostprojekts fest.

   export PROJECT_ID=PROJECT_ID
   

2. Legen Sie das Standardprojekt Google Cloud fest.

   gcloud config set project ${PROJECT_ID}
   

3. Exportieren Sie die YAML-Richtliniendatei:

   gcloud container binauthz policy export  > policy.yaml
   

4. policy.yaml bearbeiten

5. Setzen Sie evaluationMode auf ALWAYS_DENY.

6. Wenn die Datei den Block requireAttestationsBy enthält, löschen Sie diesen Block.

7. Speichern Sie die Datei.

8. Importieren Sie policy.yaml so:

   gcloud container binauthz policy import policy.yaml
   

Console

1. Rufen Sie in der Google Cloud Console die Seite Cluster auf.

   Zu den Clustern

2. Wählen Sie die Flotten-Hostprojekt-ID für Ihre Cluster aus. Sie finden diese Projekt-ID im Abschnitt gkeConnect Ihrer Konfigurationsdatei für den Nutzercluster.

3. Suchen Sie in der Clusterliste in der Spalte Name nach Ihrer Cluster-ID.

4. Zum Erstellen der Ressourcen-ID fügen Sie der Cluster-ID das Präfix global. hinzu, damit die Ressourcen-ID das folgende Format hat: global.CLUSTER_ID.

gcloud

1. Verwenden Sie SSH, um eine Verbindung zu Ihrer Administrator-Workstation herzustellen.

2. Führen Sie auf der Administrator-Workstation den folgenden Befehl aus:

   kubectl get membership -o yaml
   

3. Rufen Sie die Cluster-ID aus dem Feld spec.owner.id der Ausgabe ab. Beispielausgabe:

   apiVersion: v1
   items:
   - apiVersion: hub.gke.io/v1
     kind: Membership
     ...
     spec:
       owner:
         id: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/my-cluster-id
   

   In der Beispielausgabe lautet die Cluster-ID my-cluster-id.

4. Zum Erstellen der Ressourcen-ID fügen Sie der Cluster-ID das Präfix global. hinzu. In diesem Beispiel lautet die Ressourcen-ID global.my-cluster-id.