Untuk mengaktifkan Otorisasi Biner untuk cluster terlampir GKE, lakukan langkah-langkah berikut:
Aktifkan Binary Authorization API di project Anda:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDGanti
PROJECT_IDdengan ID project Anda.Google CloudBerikan peran
binaryauthorization.policyEvaluatorke akun layanan Kubernetes yang terkait dengan agen Otorisasi Biner:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Aktifkan Otorisasi Biner saat mendaftarkan atau mengupdate cluster.
Mendaftarkan cluster
Untuk mengaktifkan Otorisasi Biner saat mendaftarkan cluster, gunakan perintah
gcloud container attached clusters registercommand. Ikuti petunjuk di melampirkan cluster AKS Anda, dan sertakan argumen opsional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEGanti
CLUSTER_NAMEdengan nama cluster Anda.Mengupdate cluster
Untuk mengaktifkan Otorisasi Biner saat mengupdate cluster, gunakan
gcloud container attached clusters updateperintah. Ikuti petunjuk di mengupdate cluster AKS Anda, dan sertakan argumen opsional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEGanti
CLUSTER_NAMEdengan nama cluster Anda.
Dengan mengikuti langkah-langkah ini, Anda memastikan bahwa hanya image tepercaya dan terverifikasi yang digunakan untuk membuat container Kubernetes di cluster GKE Anda. Hal ini membantu menjaga lingkungan yang aman untuk aplikasi Anda.
Mengonfigurasi kebijakan
Mengaktifkan Otorisasi Biner saja tidak akan otomatis melindungi cluster Anda. Secara default, tindakan ini memungkinkan semua image container di-deploy jika tidak ada kebijakan yang dikonfigurasi. Artinya, untuk mengamankan cluster secara efektif, Anda harus menentukan dan menerapkan kebijakan yang menentukan image mana yang diizinkan. Untuk mempelajari cara mengonfigurasi kebijakan Otorisasi Biner, lihat Mengonfigurasi kebijakan menggunakan Google Cloud CLI.