Habilitar implementación obligatoria en un clúster disponible

En esta guía se explica cómo habilitar la aplicación de la autorización binaria en un clúster de Google Kubernetes Engine (GKE).

Antes de empezar

Antes de usar esta guía, haz lo siguiente:

  1. Crea un clúster de GKE estándar. Para obtener más información sobre cómo crear clústeres estándar, consulta Crear un clúster de zona o Crear un clúster regional.
  2. Habilita la API Binary Authorization.

Habilitar la aplicación obligatoria

Para habilitar la medida, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página de GKE:

    Ve a GKE.

  2. En la lista Clústeres de Kubernetes, haz clic en el nombre del clúster.

  3. En Seguridad, haz clic en el icono de edición () de la fila Autorización binaria.

  4. En el cuadro de diálogo Editar autorización binaria, selecciona la casilla Habilitar autorización binaria y haz clic en Guardar cambios.

gcloud

En un clúster zonal, introduce el siguiente comando:

gcloud container clusters update NAME \
    --zone ZONE \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Haz los cambios siguientes:

  • NAME: el nombre del clúster de GKE en el que quieres habilitar Autorización binaria.
  • ZONE: la zona en la que reside el clúster.

Los clústeres pueden tener habilitadas tanto la implementación obligatoria de la autorización binaria como la monitorización de CV. Para cambiar la monitorización de CV y la configuración de la aplicación, asigna a --binauthz-evaluation-mode uno de los siguientes valores:

  • POLICY_BINDINGS: solo habilita la monitorización de CV y deshabilita una política de cumplimiento si existe
  • PROJECT_SINGLETON_POLICY_ENFORCE: solo habilita la aplicación y deshabilita la monitorización de CV si estaba habilitada anteriormente.
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: habilita tanto la aplicación como la monitorización de CV

Para obtener más información sobre la política de CV y la gestión de clústeres, consulta el artículo Gestionar políticas de la plataforma de CV.

Si se trata de un clúster regional, introduce el siguiente comando:

gcloud container clusters update NAME \
    --region REGION \
    --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

Haz los cambios siguientes:

  • NAME: el nombre del clúster de GKE en el que quieres habilitar Autorización binaria.
  • REGION: la región en la que reside el clúster.

Los clústeres pueden tener habilitadas tanto la implementación obligatoria de la autorización binaria como la monitorización de CV. Para cambiar la monitorización de CV y la configuración de la aplicación, asigna a --binauthz-evaluation-mode uno de los siguientes valores:

  • POLICY_BINDINGS: solo habilita la monitorización de CV y deshabilita una política de cumplimiento si existe
  • PROJECT_SINGLETON_POLICY_ENFORCE: solo habilita la aplicación y deshabilita la monitorización de CV si estaba habilitada anteriormente.
  • POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE: habilita tanto la aplicación como la monitorización de CV

Para obtener más información sobre la política de CV y la gestión de clústeres, consulta el artículo Gestionar políticas de la plataforma de CV.

Siguientes pasos