La Autorización Binaria para Google Distributed Cloud es una Google Cloud función que extiende la aplicación durante el tiempo de implementación alojada de la Autorización Binaria a tus clústeres locales. El caso de uso principal de la Autorización Binaria en Google Distributed Cloud es proteger las cargas de trabajo, pero la Autorización Binaria funciona con todos los tipos de clústeres. Sigue los pasos de esta guía para aplicar las reglas de aplicación de una política de Autorización Binaria configurada en tu proyecto a tus clústeres. Google Cloud Para obtener más información sobre las políticas y reglas de Autorización Binaria, consulta Descripción general de la Autorización Binaria.
Requisitos previos
Antes de habilitar la aplicación de la política de Autorización Binaria para un clúster, asegúrate de cumplir con los siguientes criterios de requisitos previos:
Registra el clúster en una flota: Un clúster creado con
bmctl, el clúster se registra en el Google Cloud proyecto que especificas en elgkeConnect.projectIDcampo en el archivo de configuración del clúster. Este proyecto se conoce como el proyecto host de la flota. Para obtener más información sobre las flotas, incluidos los casos de uso, las prácticas recomendadas y los ejemplos, consulta la documentación de administración de flotas.Habilita la API de Autorización Binaria en tu Google Cloud proyecto: Habilita el servicio de Autorización Binaria en tu proyecto host de la flota.
Agrega el rol de Evaluador de políticas de Autorización Binaria a tu proyecto host de la flota: Para otorgar el rol de Evaluador de políticas de Autorización Binaria (
roles/binaryauthorization.policyEvaluator) a la cuenta de servicio de Kubernetes en tu proyecto host de la flota, ejecuta el siguiente comando:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \ --role="roles/binaryauthorization.policyEvaluator"Si tu clúster se ejecuta detrás de un servidor proxy, asegúrate de que el servidor proxy permita conexiones a la API de Autorización Binaria (
binaryauthorization.googleapis.com). Esta API proporciona validación y control de implementación basados en políticas para las imágenes implementadas en tu clúster. Para obtener más información sobre el uso de una configuración de proxy, consulta Instalación detrás de un proxy.
Una vez que cumplas con los requisitos previos, podrás habilitar (o inhabilitar) la política de Autorización Binaria cuando crees un clúster nuevo o actualices uno existente.
Habilita la política de Autorización Binaria durante la creación del clúster
Puedes habilitar la aplicación de la política de Autorización Binaria con bmctl o gcloud CLI.
bmctl
Para habilitar la Autorización Binaria cuando creas un clúster con bmctl, haz lo siguiente:
Antes de crear el clúster, agrega
spec.binaryAuthorization.evaluationModeal archivo de configuración del clúster, como se muestra en el siguiente ejemplo:... --- apiVersion: baremetal.cluster.gke.io/v1 kind: Cluster metadata: name: user-basic namespace: cluster-user-basic spec: type: user ... binaryAuthorization: evaluationMode: "PROJECT_SINGLETON_POLICY_ENFORCE"Los valores permitidos para
evaluationModeson los siguientes:PROJECT_SINGLETON_POLICY_ENFORCE: Aplica las reglas especificadas en la política de Autorización Binaria, también conocida como política singleton de proyecto, en tu Google Cloud proyecto para regir la implementación de imágenes de contenedor en tu clúster.DISABLE: Inhabilita el uso de la Autorización Binaria para tu clúster. Este es el valor predeterminado. Si omitesbinaryAuthorization, la función se inhabilita.
Realiza cualquier otro cambio necesario en el archivo de configuración del clúster y, luego, ejecuta el comando
bmctl create cluster.
Para obtener más información sobre la creación de clústeres, consulta Descripción general de la creación de clústeres.
gcloud CLI
Para crear un clúster de usuario y habilitar la Autorización Binaria, agrega la marca
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEcuando ejecutes el comandogcloud container bare-metal clusters create.Esto crea un clúster de usuario que aplica las reglas especificadas en la política de Autorización Binaria, también conocida como política singleton de proyecto. Esta política está asociada con tu Google Cloud proyecto y especifica reglas para regir la implementación de imágenes de contenedor. Para obtener más información sobre el uso de gcloud CLI para crear un clúster de usuario, consulta Crea un clúster de usuario con clientes de la API de GKE On-Prem. Para obtener más información sobre las políticas y reglas de Autorización Binaria, consulta Descripción general de la Autorización Binaria.
Habilita o inhabilita la política de Autorización Binaria para un clúster existente
Si tienes un clúster existente de la versión 1.16 o superior, puedes habilitar o inhabilitar la Autorización Binaria en cualquier momento con bmctl o gcloud CLI.
bmctl
Para habilitar la opción:
Edita el archivo de configuración del clúster para agregar los campos
binaryAuthorization:... --- apiVersion: baremetal.cluster.gke.io/v1 kind: Cluster metadata: name: user-basic namespace: cluster-user-basic spec: type: user ... binaryAuthorization: evaluationMode: "PROJECT_SINGLETON_POLICY_ENFORCE"Actualiza el clúster:
bmctl update cluster -c CLUSTER_NAME --admin-kubeconfig=CLUSTER_KUBECONFIGReemplaza lo siguiente:
CLUSTER_NAME: es el nombre del clúster que se actualizará.CLUSTER_KUBECONFIG: es la ruta al archivo kubeconfig del clúster.
Espera a que la Deployment llamada
binauthz-module-deploymenten el espacio de nombresbinauthz-systemesté lista.Cuando la implementación esté lista, la Autorización Binaria aplicará las reglas especificadas en la política de Autorización Binaria, también conocida como política singleton de proyecto. Esta política está asociada con tu Google Cloud proyecto y especifica reglas para regir la implementación de imágenes de contenedor. Para obtener más información sobre el uso de
bmctlpara actualizar un clúster, consulta Actualiza clústeres. Para obtener más información sobre las políticas y reglas de Autorización Binaria, consulta Descripción general de la Autorización Binaria.
Para inhabilitar la opción:
Para desactivar esta función, configura
evaluationModecomoDISABLEDo quita la secciónbinaryAuthorizationde la especificación del clúster. Una vez que se realice este cambio, espera unos minutos hasta que se quite la Deployment llamadabinauthz-module-deploymenten el espacio de nombresbinauthz-system.
gcloud CLI
Para habilitar la Autorización Binaria para un clúster existente, agrega la marca
--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEcuando ejecutes el comandogcloud container bare-metal clusters update.Esto actualiza un clúster de usuario para que la Autorización Binaria aplique las reglas especificadas en la política de Autorización Binaria, también conocida como política singleton de proyecto. Esta política está asociada con tu Google Cloud proyecto y especifica reglas para regir la implementación de imágenes de contenedor. Para obtener más información sobre el uso de gcloud CLI para actualizar un clúster de usuario, consulta gcloud container bare-metal clusters update en la referencia de gcloud CLI. Para obtener más información sobre las políticas y reglas de Autorización Binaria, consulta Descripción general de la Autorización Binaria.
Para inhabilitar la Autorización Binaria para un clúster existente, ejecuta el comando
gcloud container bare-metal clusters updatecon la marca--binauthz-evaluation-mode=DISABLED.
Soluciona problemas
Si no completas todos los requisitos previos, es posible que no
veas ninguna indicación temprana de un problema. Si la Autorización Binaria comienza a fallar en la respuesta a las solicitudes de creación de Pods, verifica status.conditions para ReplicaSet. Un mensaje como el siguiente indica que hay un problema con la configuración de la Autorización Binaria:
failed to validate Binary Authorization policy (1) Ensure the Binary Authorization API is enabled for your Google Cloud project: gcloud services enable binaryauthorization.googleapis.com --project=PROJECT_ID (2) Ensure an IAM policy binding is in place granting binaryauthorization.policyEvaluator role to the binauthz-system/binauthz-agent Kubernetes service account: gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \ --role=roles/binaryauthorization.policyEvaluator