Führen Sie die folgenden Schritte aus, um die Binärautorisierung für GKE-angehängte Cluster zu aktivieren:
Aktivieren Sie die Binary Authorization API in Ihrem Projekt:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDErsetzen Sie
PROJECT_IDdurch die ID IhresGoogle Cloud -Projekts.Weisen Sie dem Kubernetes-Dienstkonto, das dem Binärautorisierungs-Agent zugeordnet ist, die Rolle
binaryauthorization.policyEvaluatorzu:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Binärautorisierung beim Registrieren oder Aktualisieren eines Clusters aktivieren.
Cluster registrieren
Verwenden Sie den Befehl
gcloud container attached clusters register, um die Binärautorisierung beim Registrieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter AKS-Cluster anhängen und fügen Sie das optionale Argument--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEein:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEErsetzen Sie
CLUSTER_NAMEdurch den Namen Ihres Clusters.Cluster aktualisieren
Verwenden Sie den Befehl
gcloud container attached clusters update, um die Binärautorisierung beim Aktualisieren eines Clusters zu aktivieren. Folgen Sie der Anleitung unter AKS-Cluster aktualisieren und fügen Sie das optionale Argument--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEein:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEErsetzen Sie
CLUSTER_NAMEdurch den Namen Ihres Clusters.
Mit diesen Schritten sorgen Sie dafür, dass nur vertrauenswürdige und verifizierte Images zum Erstellen von Kubernetes-Containern in Ihren GKE-Clustern verwendet werden. So erhalten Sie eine sichere Umgebung für Ihre Anwendungen.
Richtlinien konfigurieren
Wenn Sie nur die Binärautorisierung aktivieren, wird Ihr Cluster nicht automatisch geschützt. Standardmäßig lässt sie zu, dass alle Container-Images bereitgestellt werden, wenn keine Richtlinie konfiguriert ist. Das bedeutet, dass Sie zum effektiven Sichern Ihres Clusters eine Richtlinie definieren und erzwingen müssen, in der angegeben ist, welche Images zulässig sind. Informationen zum Konfigurieren einer Richtlinie zur Binärautorisierung finden Sie unter Richtlinie mit der Google Cloud CLI konfigurieren.