Für GKE-Cluster einrichten

Workload Identity verwenden

1. Geben Sie Ihr Connect-Projekt an:

   export PROJECT_ID=PROJECT_ID
   

2. Geben Sie die Flottenmitgliedschafts-ID Ihres Clusters an:

   export MEMBERSHIP_ID=MEMBERSHIP_ID
   

Dienstkontoschlüssel verwenden

1. Geben Sie Ihr Connect-Projekt an:

   export PROJECT_ID=PROJECT_ID
   

   Ersetzen Sie PROJECT_ID durch das Google Cloud-Projekt im Abschnitt gkeConnect Ihrer Konfigurationsdatei für den Nutzercluster.

2. Geben Sie den Pfad der kubeconfig-Datei des Nutzerclusters an:

   export KUBECONFIG=PATH
   

   Ersetzen Sie PATH durch den Pfad der kubeconfig-Datei des Nutzerclusters.

3. Wählen Sie einen Namen für das Zugriffsdienstkonto der Binary Authorization API:

   export SA_NAME=SERVICE_ACCOUNT_NAME
   

   Ersetzen Sie SERVICE_ACCOUNT_NAME durch den Dienstkontonamen Ihrer Wahl. Das Binärautorisierungsmodul verwendet dieses Dienstkonto, um auf die Binary Authorization API zuzugreifen.

4. Geben Sie den Pfad zur Dienstkonto-Schlüsseldatei an, die Sie später in dieser Anleitung herunterladen:

   export SA_JSON_PATH=SA_KEY_FILE_PATH
   

   Ersetzen Sie SA_KEY_FILE_PATH durch den Pfad zur JSON-Schlüsseldatei für das Dienstkonto.

Workload Identity verwenden

Mit Fleet Workload Identity können sich die Arbeitslasten in Ihrem Cluster bei Google authentifizieren, ohne dass Sie Google Cloud-Dienstkontoschlüssel herunterladen, manuell rotieren und verwalten müssen. Weitere Informationen zur Funktionsweise von Fleet Workload Identity für Flotten und dessen Vorteilen finden Sie unter Workload Identity für Flotten verwenden.

1. Weisen Sie dem Kubernetes-Dienstkonto in Ihrem Connect-Projekt die Rolle binaryauthorization.policyEvaluator zu:

   gcloud projects add-iam-policy-binding ${PROJECT_ID} \
       --member="serviceAccount:${PROJECT_ID}.svc.id.goog[binauthz-system/binauthz-admin]" \
       --role="roles/binaryauthorization.policyEvaluator"
   

2. Erstellen Sie ein Arbeitsverzeichnis:

   1. Erstellen Sie ein Verzeichnis mit dem Namen binauthz.

   2. Wechseln Sie in das Verzeichnis.

3. Laden Sie die Datei manifest-wi-0.2.6.yaml.tmpl herunter, mit der Sie das Binärautorisierungsmodul in Ihrem GKE-Cluster-Nutzercluster installieren:

   GKE on Bare Metal

   gsutil cp gs://anthos-baremetal-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .
   

   GKE on VMware

   gsutil cp gs://gke-on-prem-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .
   

4. Ersetzen Sie die Umgebungsvariablen in der Vorlage:

   envsubst < manifest-wi-0.2.6.yaml.tmpl > manifest-0.2.6.yaml
   

5. Installieren Sie das Binärautorisierungsmodul in Ihrem Nutzercluster:

   kubectl apply -f manifest-0.2.6.yaml
   

6. Prüfen Sie, ob die Bereitstellung erstellt wurde:

   kubectl get pod --namespace binauthz-system
   

   Sie sehen den Pod binauthz-module-deployment-* mit dem Status Running und 1/1 Pods als bereit, ähnlich dieser Ausgabe:

   NAME                                          READY   STATUS    RESTARTS   AGE
   binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s
   

Dienstkontoschlüssel verwenden

1. Legen Sie das Standardprojekt für die Google Cloud CLI fest:

   gcloud config set project ${PROJECT_ID}
   

2. Erstellen Sie ein Zugriffsdienstkonto für die Binary Authorization API:

   gcloud iam service-accounts create ${SA_NAME}
   

3. Weisen Sie dem Zugriffdienstkonto für die Binary Authorization API Ihres Connect-Projekts die Rolle binaryauthorization.policyEvaluator zu:

   gcloud projects add-iam-policy-binding ${PROJECT_ID}\
       --member="serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
       --role="roles/binaryauthorization.policyEvaluator"
   

4. Erstellen Sie ein Arbeitsverzeichnis:

   1. Erstellen Sie ein Verzeichnis mit dem Namen binauthz.

   2. Wechseln Sie in das Verzeichnis.

5. Laden Sie die Datei manifest-0.2.6.yaml herunter, mit der Sie das Binärautorisierungsmodul in Ihrem GKE-Cluster-Nutzercluster installieren:

   anthos_clusters_on_bare_metal

   gsutil cp gs://anthos-baremetal-release/binauthz/manifest-0.2.6.yaml .
   

   anthos_clusters_on_vmware

   gsutil cp gs://gke-on-prem-release/binauthz/manifest-0.2.6.yaml .
   

6. Erstellen Sie eine YAML-Datei für den Namespace binauthz-system.

   Kopieren Sie Folgendes in eine Datei mit dem Namen namespace.yaml:

   apiVersion: v1
   kind: Namespace
   metadata:
     labels:
       control-plane: binauthz-controller
     name: binauthz-system
   

7. Erstellen Sie den Namespace in Ihrem Nutzercluster:

   kubectl apply -f namespace.yaml
   

   Die Ausgabe sollte in etwa so aussehen:

   namespace/binauthz-system created
   

8. Laden Sie eine JSON-Schlüsseldatei für Ihr Dienstkonto herunter.

   gcloud iam service-accounts keys create ${SA_JSON_PATH} --iam-account ${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com
   

9. Speichern Sie den Dienstkontoschlüssel als Kubernetes-Secret in Ihrem Nutzercluster:

   kubectl --namespace binauthz-system create secret generic binauthz-sa --from-file=key.json=${SA_JSON_PATH}
   

10. Installieren Sie das Binärautorisierungsmodul in Ihrem Nutzercluster:

    kubectl apply -f manifest-0.2.6.yaml
    

11. Prüfen Sie, ob die Bereitstellung erstellt wurde:

    kubectl get pod --namespace binauthz-system
    

    Sie sehen den Pod binauthz-module-deployment-* mit dem Status Running und 1/1 Pods als bereit, ähnlich dieser Ausgabe:

    NAME                                          READY   STATUS    RESTARTS   AGE
    binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s
    

Console

1. Rufen Sie in der Google Cloud Console die Seite "Binärautorisierung" auf.

   Zur Binärautorisierung

2. Wählen Sie Ihre Connect-Projekt-ID aus.

3. Klicken Sie auf Richtlinie bearbeiten.

4. Wählen Sie unter Projektstandardregel die Option Alle Images zulassen aus.

5. Klicken Sie auf Save Policy (Richtlinie speichern).

gcloud

1. Legen Sie die PROJECT_ID für Ihr Connect-Projekt fest. Sie finden diese Projekt-ID in der Konfigurationsdatei des Nutzerclusters im Feld gkeConnect.

   export PROJECT_ID=PROJECT_ID
   

   Legen Sie das Google Cloud-Standardprojekt fest.

   gcloud config set project ${PROJECT_ID}
   

2. Exportieren Sie die YAML-Richtliniendatei in Ihr lokales System:

   gcloud container binauthz policy export  > policy.yaml
   

   Ihre YAML-Datei sieht so aus:

   defaultAdmissionRule:
     enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
     evaluationMode: ALWAYS_ALLOW
   globalPolicyEvaluationMode: ENABLE
   name: projects/<var>PROJECT_ID</var>/policy
   

3. policy.yaml bearbeiten

4. Setzen Sie evaluationMode auf ALWAYS_ALLOW.

5. Wenn die Datei den Block requireAttestationsBy enthält, löschen Sie diesen Block.

6. Speichern Sie die Datei.

7. Importieren Sie policy.yaml so:

   gcloud container binauthz policy import policy.yaml
   

Wenn Sie der Zulassungsliste ein ausgenommenes Image hinzufügen möchten, fügen Sie der Richtliniendatei Folgendes hinzu:

admissionWhitelistPatterns:
  - namePattern: EXEMPT_IMAGE_PATH

Ersetzen Sie EXEMPT_IMAGE_PATH durch den Pfad zu einem Image, das ausgenommen werden soll. Wenn Sie zusätzliche Images ausschließen möchten, fügen Sie zusätzliche - namePattern-Einträge hinzu. Weitere Informationen zu admissionWhitelistPatterns.

Console

1. Rufen Sie in der Google Cloud Console die Seite "Binärautorisierung" auf.

   Zur Binärautorisierung

2. Achten Sie darauf, dass Ihr Connect-Projekt ausgewählt ist.

3. Klicken Sie auf Richtlinie bearbeiten.

4. Wählen Sie unter Projektstandardregel die Option Alle Images ablehnen aus.

5. Klicken Sie auf Richtlinie speichern.

gcloud

1. Setzen Sie die PROJECT_ID auf Ihre Connect-Projekt-ID.

   export PROJECT_ID=PROJECT_ID
   

2. Legen Sie das Google Cloud-Standardprojekt fest.

   gcloud config set project ${PROJECT_ID}
   

3. Exportieren Sie die YAML-Richtliniendatei:

   gcloud container binauthz policy export  > policy.yaml
   

4. policy.yaml bearbeiten

5. Setzen Sie evaluationMode auf ALWAYS_DENY.

6. Wenn die Datei den Block requireAttestationsBy enthält, löschen Sie diesen Block.

7. Speichern Sie die Datei.

8. Importieren Sie policy.yaml so:

   gcloud container binauthz policy import policy.yaml
   

Console

1. Rufen Sie in der Google Cloud Console die Seite GKE Enterprise-Cluster auf.

   Zu den Clustern

2. Wählen Sie die Connect-Projekt-ID für GKE-Cluster aus. Sie finden diese Projekt-ID im Abschnitt gkeConnect Ihrer Konfigurationsdatei für den Nutzercluster.

3. Suchen Sie unter In Anthos verwaltete Cluster Ihre Cluster-ID in der Spalte Name.

4. Zum Erstellen der Ressourcen-ID fügen Sie der Cluster-ID das Präfix global. hinzu, damit die Ressourcen-ID das folgende Format hat: global.CLUSTER_ID.

gcloud

1. Verwenden Sie SSH, um eine Verbindung zu Ihrer Administrator-Workstation für GKE-Cluster herzustellen.

2. Führen Sie auf der Administrator-Workstation den folgenden Befehl aus:

   kubectl get membership -o yaml
   

3. Rufen Sie die Cluster-ID aus dem Feld spec.owner.id der Ausgabe ab. Beispielausgabe:

   apiVersion: v1
   items:
   - apiVersion: hub.gke.io/v1
     kind: Membership
     ...
     spec:
       owner:
         id: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/my-cluster-id
   

   In der Beispielausgabe lautet die Cluster-ID my-cluster-id.

4. Zum Erstellen der Ressourcen-ID fügen Sie der Cluster-ID das Präfix global. hinzu. In diesem Beispiel lautet die Ressourcen-ID global.my-cluster-id.