כדי להפעיל את Binary Authorization באשכולות שמצורפים ל-GKE, מבצעים את השלבים הבאים:
מפעילים את Binary Authorization API בפרויקט:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDמחליפים את
PROJECT_IDבמזהה שלGoogle Cloud הפרויקט.מקצים את התפקיד
binaryauthorization.policyEvaluatorלחשבון השירות של Kubernetes שמשויך לסוכן Binary Authorization:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"מפעילים את Binary Authorization כשרושמים או מעדכנים אשכול.
רישום אשכול
כדי להפעיל Binary Authorization כשרושמים אשכול, משתמשים בפקודה
gcloud container attached clusters register. פועלים לפי ההוראות שבקטע צירוף אשכול EKS וכוללים את הארגומנט האופציונלי--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEמחליפים את
CLUSTER_NAMEבשם האשכול.עדכון אשכול
כדי להפעיל את Binary Authorization כשמעדכנים אשכול, משתמשים בפקודה
gcloud container attached clusters update. פועלים לפי ההוראות במאמר בנושא עדכון אשכול EKS וכוללים את הארגומנט האופציונלי--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEמחליפים את
CLUSTER_NAMEבשם האשכול.
השלבים האלה מבטיחים שרק תמונות מהימנות ומאומתות ישמשו ליצירת קונטיינרים של Kubernetes באשכולות GKE. כך אנחנו שומרים על סביבה מאובטחת לאפליקציות שלכם.
הגדרת כללי מדיניות
הפעלה של Binary Authorization בלבד לא מגנה על האשכול באופן אוטומטי. כברירת מחדל, המדיניות מאפשרת פריסה של כל תמונות המאגר אם לא מוגדרת מדיניות. כלומר, כדי לאבטח את האשכול בצורה יעילה, צריך להגדיר מדיניות שמציינת אילו תמונות מותרות ולאכוף אותה. כדי ללמוד איך להגדיר מדיניות של Binary Authorization, ראו הגדרת מדיניות באמצעות Google Cloud CLI.