Ativar autorização binária

Para ativar a autorização binária para clusters anexados do GKE, siga estas etapas:

  1. Ative a API de autorização binária no projeto:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    Substitua PROJECT_ID pelo ID do seu Google Cloud projeto.

  2. Conceda o papel binaryauthorization.policyEvaluator à conta de serviço do Kubernetes associada ao agente da Autorização binária:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. Ative a Autorização binária ao registrar ou atualizar um cluster.

    Registrar um cluster

    Para ativar a autorização binária ao registrar um cluster, use o comando gcloud container attached clusters register. Siga as instruções anexe seu cluster em conformidade com a CNCF, e incluir o argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters register CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Substitua CLUSTER_NAME pelo nome do cluster.

    Atualize um cluster

    Para ativar a autorização binária ao atualizar um cluster, use o comando gcloud container attached clusters update. Siga as instruções atualize seu cluster em conformidade com a CNCF; e incluir o argumento opcional --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:

    gcloud container attached clusters update CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    Substitua CLUSTER_NAME pelo nome do cluster.

Siga estas etapas para garantir que apenas imagens confiáveis e verificadas sejam usadas para criar contêineres do Kubernetes nos clusters do GKE. ajudando a manter um ambiente seguro para os aplicativos.

Configurar políticas

A ativação da autorização binária por si só não protege automaticamente o cluster. Por padrão, ela permite que todas as imagens de contêiner sejam implantadas se nenhuma política estiver configurada. Isso significa que, para proteger seu cluster de maneira eficaz, é necessário definir e aplicar uma política que especifique quais imagens são permitidas. Para saber como configurar uma política de autorização binária, consulte Configurar uma política usando a Google Cloud CLI.