Crear un clúster

En esta página se explica cómo crear un clúster en Google Kubernetes Engine (GKE) con la autorización binaria habilitada. Puedes realizar este paso en la línea de comandos con los comandos gcloud o en la consola Google Cloud . Este paso forma parte de la configuración de la autorización binaria para GKE.

Antes de empezar

Crear un clúster con la autorización binaria habilitada (solo monitorización de CV)

La autorización binaria funciona con clústeres Autopilot o Standard. Para configurar el modo de evaluación solo de monitorización, debe especificar al menos una política de plataforma basada en comprobaciones.

Para crear un clúster con la autorización binaria habilitada y solo la monitorización de CV, haz lo siguiente:

Consola

En los pasos siguientes se configura un clúster estándar.

  1. En la Google Cloud consola, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Introduzca los valores de los campos predeterminados tal como se describe en Crear un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar autorización binaria. 1. Selecciona Solo auditoría y configura las políticas de plataforma basadas en comprobaciones de CV que quieras que Binary Authorization use para evaluar las imágenes de tu clúster.

  5. Haz clic en Crear.

gcloud

  1. Configura tu Google Cloud proyecto predeterminado:

    gcloud config set project PROJECT_ID

    Sustituye PROJECT_ID por el ID del proyecto en el que quieras crear el clúster.

  2. Crea un clúster que solo use la monitorización basada en la política de la plataforma de CV:

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • CLUSTER_NAME: nombre del clúster.
    • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1).
    • POLICY_PROJECT_ID: el ID del proyecto en el que se almacena la política.
    • POLICY_ID: el ID de la política.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Crear un clúster con la autorización binaria habilitada (solo implementación obligatoria)

La autorización binaria funciona con clústeres Autopilot o Standard. La política de aplicación se define como la política del proyecto, que permite todas las imágenes de forma predeterminada. Para cambiar la política del proyecto, sigue estas instrucciones.

Para crear un clúster con la autorización binaria habilitada y solo la implementación obligatoria habilitada, haz lo siguiente:

Consola

En los pasos siguientes se configura un clúster estándar.

  1. En la Google Cloud consola, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Introduce los valores de los campos predeterminados tal como se describe en Crear un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar autorización binaria.

  5. Selecciona Solo aplicar.

  6. Haz clic en Crear.

gcloud

  1. Configura tu Google Cloud proyecto predeterminado:

    gcloud config set project PROJECT_ID

    Sustituye PROJECT_ID por el ID del proyecto en el que quieras crear el clúster.

  2. Crea un clúster que solo use la aplicación de políticas:

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • CLUSTER_NAME: nombre del clúster.
    • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1).
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE ^
    --project=CLUSTER_PROJECT_ID

Terraform

En el siguiente ejemplo de Terraform se crea y se configura un clúster Standard:

resource "google_container_cluster" "default" {
  name               = "gke-standard-regional-binauthz-enforce"
  location           = "us-west1"
  initial_node_count = 1

  binary_authorization {
    evaluation_mode = "PROJECT_SINGLETON_POLICY_ENFORCE"
  }
}

Para obtener más información sobre cómo usar Terraform, consulta Compatibilidad de Terraform con GKE.

El clúster puede tardar unos minutos en crearse.

Crear un clúster con la autorización binaria habilitada (monitorización y aplicación obligatoria de CV)

La autorización binaria funciona con clústeres Autopilot o Standard.

Para la aplicación, la política se define como la política del proyecto, que permite todas las imágenes de forma predeterminada. Para cambiar la política del proyecto, sigue estas instrucciones.

Para monitorizar el contenido generado por IA, debe especificar al menos una política de la plataforma basada en comprobaciones de contenido generado por IA.

Para crear un clúster con la autorización binaria habilitada y con la monitorización y la implementación obligatoria de CV, haz lo siguiente:

Consola

En los pasos siguientes se configura un clúster estándar.

  1. En la Google Cloud consola, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Introduce los valores de los campos predeterminados tal como se describe en Crear un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar autorización binaria.

  5. Selecciona Auditoría y aplicación y configura las políticas de la plataforma basadas en comprobaciones de CV.

  6. Haz clic en Crear.

gcloud

  1. Configura tu Google Cloud proyecto predeterminado:

    gcloud config set project PROJECT_ID

    Sustituye PROJECT_ID por el ID del proyecto en el que quieras crear el clúster.

  2. Crea un clúster que use tanto la aplicación de políticas de un solo proyecto como la monitorización basada en políticas de la plataforma CV:

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • CLUSTER_NAME: nombre del clúster.
    • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1).
    • POLICY_PROJECT_ID: el ID del proyecto en el que se almacena la política.
    • POLICY_ID: el ID de la política.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID ^
    --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Crear un clúster de CV que use varias políticas de plataforma (solo monitorización de CV)

La autorización binaria funciona con clústeres Autopilot o Standard.

Puedes crear clústeres con varias políticas de plataforma vinculadas (consulta la referencia de la API de GKE para obtener más información).

Consola

En los pasos siguientes se configura un clúster estándar.

  1. En la Google Cloud consola, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Introduce los valores de los campos predeterminados tal como se describe en Crear un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar autorización binaria.

  5. Selecciona Solo auditoría y configura una o varias políticas de plataforma con las que quieras que Autorización Binaria evalúe tu clúster.

  6. Haz clic en Crear.

gcloud

  1. Configura tu Google Cloud proyecto predeterminado:

    gcloud config set project PROJECT_ID

  2. Crea el clúster.

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • CLUSTER_NAME: nombre del clúster.
    • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1).
    • POLICY_PROJECT_ID_1: el ID del proyecto en el que se almacena la primera política de plataforma.
    • POLICY_ID_1: el ID de la primera política de la plataforma.
    • POLICY_PROJECT_ID_2: el ID del proyecto en el que se almacena la segunda política de plataforma. Se pueden almacenar varias políticas en el mismo proyecto o en proyectos diferentes.
    • POLICY_ID_2: el ID de política de la segunda política de plataforma.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Crear un clúster de CV que use varias políticas de plataforma (monitorización y aplicación de CV)

La autorización binaria funciona con clústeres Autopilot o Standard.

Puedes crear clústeres con varias políticas de plataforma vinculadas (consulta la referencia de la API de GKE para obtener más información).

Consola

En los pasos siguientes se configura un clúster estándar.

  1. En la Google Cloud consola, ve a la página de GKE.

    Ir a GKE

  2. Haz clic en Crear clúster. Introduzca los valores de los campos predeterminados tal como se describe en Crear un clúster zonal.

  3. En el menú de navegación, haz clic en Seguridad.

  4. Selecciona Habilitar autorización binaria.

  5. Selecciona Auditoría y aplicación y configura las políticas de monitorización de la información de la tarjeta de crédito.

  6. Haz clic en Crear.

gcloud

  1. Configura tu Google Cloud proyecto predeterminado:

    gcloud config set project PROJECT_ID

  2. Crea un clúster que use tanto la aplicación de políticas de un solo proyecto como la monitorización basada en políticas de la plataforma CV:

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • CLUSTER_NAME: nombre del clúster.
    • LOCATION: la ubicación (por ejemplo, us-central1 o asia-south1).
    • POLICY_PROJECT_ID_1: el ID del proyecto en el que se almacena la primera política de plataforma.
    • POLICY_ID_1: el ID de la primera política de la plataforma.
    • POLICY_PROJECT_ID_2: el ID del proyecto en el que se almacena la segunda política de plataforma. Se pueden almacenar varias políticas en el mismo proyecto o en proyectos diferentes.
    • POLICY_ID_2: el ID de política de la segunda política de plataforma.
    • CLUSTER_PROJECT_ID: el ID del proyecto del clúster.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 \
    --project=CLUSTER_PROJECT_ID

    Windows (PowerShell)

    gcloud beta container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 `
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 `
    --project=CLUSTER_PROJECT_ID

    Windows (cmd.exe)

    gcloud beta container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --binauthz-evaluation-mode=POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_1/platforms/gke/policies/POLICY_ID_1 ^
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID_2/platforms/gke/policies/POLICY_ID_2 ^
    --project=CLUSTER_PROJECT_ID

El clúster puede tardar unos minutos en crearse.

Verificar que la autorización binaria esté habilitada

Para verificar que la autorización binaria está habilitada en el clúster, haz lo siguiente:

Consola

  1. Abre la página de GKE en la Google Cloud consola.

    Ir a GKE

  2. En Clústeres de Kubernetes, busca tu clúster.

  3. En Seguridad, comprueba que Autorización binaria esté Habilitada.

gcloud

Para ver una lista de las vinculaciones de políticas de tu clúster, haz lo siguiente: 

gcloud beta container clusters describe CLUSTER_NAME --location LOCATION --project CLUSTER_PROJECT_ID | grep -A 10 policyBindings:

Ten en cuenta que puede haber información adicional después de la lista de enlaces de políticas.

Siguientes pasos