Per abilitare Autorizzazione binaria per i cluster collegati GKE, segui questi passaggi:
Abilita l'API Autorizzazione binaria nel tuo progetto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del tuo Google Cloud progetto.Concedi il ruolo
binaryauthorization.policyEvaluatoral account di servizio Kubernetes associato all'agente di Autorizzazione binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.
Registra un cluster
Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il
gcloud container attached clusters registercomando. Segui le istruzioni riportate in Collega il cluster AKS, e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.Aggiorna un cluster
Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il
gcloud container attached clusters updatecomando. Segui le istruzioni riportate in Aggiorna il cluster AKS, e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.
Seguendo questi passaggi, ti assicuri che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei cluster GKE. In questo modo, puoi mantenere un ambiente sicuro per le tue applicazioni.
Configura le policy
L'abilitazione di Autorizzazione binaria da sola non protegge automaticamente il cluster. Per impostazione predefinita, consente il deployment di tutte le immagini container se non è configurata alcuna policy. Ciò significa che, per proteggere efficacemente il cluster, devi definire e applicare una policy che specifichi le immagini consentite. Per scoprire come configurare una policy di Autorizzazione binaria, consulta Configurare una policy utilizzando Google Cloud CLI.