Per abilitare Autorizzazione binaria per i cluster GKE collegati, segui questi passaggi:
Abilita l'API Autorizzazione binaria nel tuo progetto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del tuo progettoGoogle Cloud .Concedi il ruolo
binaryauthorization.policyEvaluatoral account di servizio Kubernetes associato all'agente di Autorizzazione binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.
Registra un cluster
Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il comando
gcloud container attached clusters register. Segui le istruzioni riportate in Collega il cluster EKS e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.Aggiorna un cluster
Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando
gcloud container attached clusters update. Segui le istruzioni riportate in Aggiorna il cluster EKS e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.
Se segui questi passaggi, ti assicuri che per creare i container Kubernetes nei cluster GKE vengano utilizzate solo immagini attendibili e verificate. In questo modo si mantiene un ambiente sicuro per le tue applicazioni.
Configura le policy
L'abilitazione di Autorizzazione binaria da sola non protegge automaticamente il cluster. Per impostazione predefinita, consente il deployment di tutte le immagini container se non è configurata alcuna policy. Ciò significa che per proteggere efficacemente il cluster, devi definire e applicare un criterio che specifichi quali immagini sono consentite. Per scoprire come configurare una policy di autorizzazione binaria, consulta Configura una policy utilizzando Google Cloud CLI.