Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione per i cluster on-premise

Questo documento mostra come configurare l'Autorizzazione binaria per i cluster on-premise creati nell'ambito di Google Distributed Cloud. Poi viene mostrato come configurare un criterio di Autorizzazione binaria di esempio.

Prima di iniziare

Assicurati che i tuoi cluster dispongano di una versione di Google Distributed Cloud supportata. L'autorizzazione binaria supporta i seguenti ambienti.

Bare metal
Google Distributed Cloud 1.14 o 1.15. Per la versione 1.16 o successive, Autorizzazione binaria può essere configurata durante la creazione o l'aggiornamento del cluster.

VMware
Distributed Cloud per VMware (Google Distributed Cloud) 1.4 o versioni successive.
Il servizio di autorizzazione dei binari utilizza un indirizzo IP esterno, accessibile tramite una normale connessione a internet. Configura le regole del firewall per HTTPS per consentire al cluster di utenti di accedere all'endpointbinaryauthorization.googleapis.com.

Bare metal
Configura le regole del firewall di Google Distributed Cloud.

VMware
Configura le regole del firewall di Google Distributed Cloud.
Se vuoi utilizzare gli audit log di Cloud centralizzati per visualizzare le voci degli audit log, incluse quelle di Autorizzazione binaria per i cluster esterni a Google Cloud, devi configurare Cloud Audit Logs nella configurazione del cluster.

Bare metal
Configura gli audit log di Cloud in Google Distributed Cloud.

VMware
Configura gli audit log di Cloud in Google Distributed Cloud.
Devi attivare l'API Binary Authorization come segue:
1. Vai alla console Google Cloud.
  
  Abilita le API
2. Nell'elenco a discesa del progetto, seleziona il progetto host del parco. Puoi trovarlo nella sezione gkeConnect del file di configurazione del cluster utente. Si tratta del progetto Google Cloud che connette il cluster di utenti a Google Cloud.

Configura Autorizzazione binaria

In questa sezione, configuri Autorizzazione binaria nel tuo cluster on-premise.

Specifica le variabili di ambiente di installazione

Per specificare le variabili di ambiente, procedi nel seguente modo:

Utilizzare Workload Identity

Specifica il progetto host del parco risorse:
```
export PROJECT_ID=PROJECT_ID
```
Imposta l'ID appartenenza al parco risorse sull'ID cluster:

L'ID abbonamento è elencato nella colonna NAME quando esegui il comando gcloud container fleet memberships list.
```
export MEMBERSHIP_ID=CLUSTER_NAME
```

Utilizzo della chiave dell'account di servizio

Specifica il progetto host del parco risorse:
```
export PROJECT_ID=PROJECT_ID
```
Sostituisci PROJECT_ID con il progetto Google Cloud nella sezione gkeConnect del file di configurazione del cluster di utenti.
Specifica il percorso del file kubeconfig del cluster utente:
```
export KUBECONFIG=PATH
```
Sostituisci PATH con il percorso del file kubeconfig del cluster utente.
Scegli un nome per l'account di servizio di accesso all'API Binary Authorization:
```
export SA_NAME=SERVICE_ACCOUNT_NAME
```
Sostituisci SERVICE_ACCOUNT_NAME con il nome dell'account di servizio scelto. Il Modulo di autorizzazione binaria utilizza questo account di servizio per accedere all'API Binary Authorization.
Specifica il percorso del file della chiave dell'account di servizio scaricato più avanti in questa guida:
```
export SA_JSON_PATH=SA_KEY_FILE_PATH
```
Sostituisci SA_KEY_FILE_PATH con il percorso del file della chiave JSON per l'account di servizio.

Installa il modulo Autorizzazione binaria nel cluster utente

Per installare il modulo di autorizzazione binaria:

Utilizzare Workload Identity

Workload Identity consente ai workload del tuo cluster di autenticarsi su Google senza che tu debba scaricare, ruotare manualmente e gestire in generale le chiavi dell'account di servizio Google Cloud. Puoi scoprire di più sul funzionamento di Workload Identity del parco risorse e sui vantaggi del suo utilizzo in Utilizzare Workload Identity del parco risorse.

Concedi il ruolo binaryauthorization.policyEvaluator all'account di servizio Kubernetes nel progetto host del tuo parco:

gcloud projects add-iam-policy-binding ${PROJECT_ID} \
    --member="serviceAccount:${PROJECT_ID}.svc.id.goog[binauthz-system/binauthz-admin]" \
    --role="roles/binaryauthorization.policyEvaluator"

Crea una directory di lavoro:
1. Crea una directory denominata binauthz.
2. Passa alla directory.

Scarica il file manifest-wi-0.2.6.yaml.tmpl, che utilizzi per installare il Modulo di autorizzazione binaria nel cluster di utenti:

Bare metal

gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .

VMware

gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-wi-0.2.6.yaml.tmpl .

Sostituisci le variabili di ambiente nel modello:

envsubst < manifest-wi-0.2.6.yaml.tmpl > manifest-0.2.6.yaml

Installa il Modulo di autorizzazione binaria nel cluster utente:
```
kubectl apply -f manifest-0.2.6.yaml
```

Verifica che il deployment sia stato creato:

kubectl get pod --namespace binauthz-system

Vedrai il pod binauthz-module-deployment-* elencato con Status di Running e 1/1 pod pronti, in modo simile a questo output:

NAME                                          READY   STATUS    RESTARTS   AGE
binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s

Utilizzo della chiave dell'account di servizio

Imposta il progetto predefinito per Google Cloud CLI:
```
gcloud config set project ${PROJECT_ID}
```
Crea un account di servizio di accesso all'API Binary Authorization:
```
gcloud iam service-accounts create ${SA_NAME}
```

Concedi il ruolo binaryauthorization.policyEvaluator al account di servizio di accesso all'API Binary Authorization nel progetto host del tuo parco:

gcloud projects add-iam-policy-binding ${PROJECT_ID}\
    --member="serviceAccount:${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com" \
    --role="roles/binaryauthorization.policyEvaluator"

Crea una directory di lavoro:
1. Crea una directory denominata binauthz.
2. Passa alla directory.

Scarica il file manifest-0.2.6.yaml, che utilizzi per installare il Modulo di autorizzazione binaria nel cluster di utenti:

Bare metal

gcloud storage cp gs://anthos-baremetal-release/binauthz/manifest-0.2.6.yaml .

VMware

gcloud storage cp gs://gke-on-prem-release/binauthz/manifest-0.2.6.yaml .

Crea un file YAML per lo spazio dei nomi binauthz-system.

Copia quanto segue in un file denominato namespace.yaml:

apiVersion: v1
kind: Namespace
metadata:
  labels:
    control-plane: binauthz-controller
  name: binauthz-system

Crea lo spazio dei nomi nel cluster utente:
```
kubectl apply -f namespace.yaml
```
Viene visualizzato un output simile al seguente:
```
namespace/binauthz-system created
```

Scarica un file della chiave JSON per il tuo account di servizio:

gcloud iam service-accounts keys create ${SA_JSON_PATH} --iam-account ${SA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Salva la chiave dell'account di servizio come secret Kubernetes nel cluster utente:

kubectl --namespace binauthz-system create secret generic binauthz-sa --from-file=key.json=${SA_JSON_PATH}

Installa il Modulo di autorizzazione binaria nel cluster utente:
```
kubectl apply -f manifest-0.2.6.yaml
```

Verifica che il deployment sia stato creato:

kubectl get pod --namespace binauthz-system

Vedrai il pod binauthz-module-deployment-* elencato con Status di Running e 1/1 pod pronti, in modo simile a questo output:

NAME                                          READY   STATUS    RESTARTS   AGE
binauthz-module-deployment-5fddf9594f-qjprz   1/1     Running   0          11s

Configurare e utilizzare i criteri di Autorizzazione binaria

Questa sezione mostra come configurare e utilizzare i criteri di autorizzazione binaria per i cluster on-premise.

In ogni esempio, configuri il criterio e poi lo testi tentando di eseguire il deployment di un'immagine container nel cluster.

Consenti tutto

Questa sezione mostra un caso di successo. Configura il criterio di Autorizzazione binaria in modo che un'immagine container soddisfi il criterio e venga eseguita il deployment.

In Google Cloud:

Console

Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

Vai ad Autorizzazione binaria
Assicurati di selezionare l'ID progetto host del tuo parco.
Fai clic su Modifica criterio.
In Regola predefinita del progetto, seleziona Consenti tutte le immagini.
Fai clic su Save Policy (Salva criterio).

gcloud

Imposta PROJECT_ID per il progetto host del parco risorse. Puoi trovare questo ID progetto nel campo gkeConnect del file di configurazione del cluster utente.
```
export PROJECT_ID=PROJECT_ID
```
Imposta il progetto Google Cloud predefinito.
```
gcloud config set project ${PROJECT_ID}
```

Esporta il file YAML dei criteri sul sistema locale:

gcloud container binauthz policy export  > policy.yaml

Il file YAML ha il seguente aspetto:

defaultAdmissionRule:
  enforcementMode: ENFORCED_BLOCK_AND_AUDIT_LOG
  evaluationMode: ALWAYS_ALLOW
globalPolicyEvaluationMode: ENABLE
name: projects/<var>PROJECT_ID</var>/policy

Modifica policy.yaml.
Imposta evaluationMode su ALWAYS_ALLOW.
Se il file contiene un blocco requireAttestationsBy, eliminalo.
Salva il file.

Importa policy.yaml come segue:

gcloud container binauthz policy import policy.yaml

Per aggiungere un'immagine esente alla lista consentita, aggiungi quanto segue al file delle norme:

admissionWhitelistPatterns:
  - namePattern: EXEMPT_IMAGE_PATH

Sostituisci EXEMPT_IMAGE_PATH con il percorso dell'immagine da esentare. Per esentare altre immagini, aggiungi altre voci - namePattern. Scopri di più su admissionWhitelistPatterns.

Nella workstation di amministrazione, svolgi i seguenti passaggi:

Crea un file manifest per un pod.

Salva quanto segue in un file denominato pod.yaml:

apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: test-container
    image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4

Crea il pod:
```
kubectl apply -f pod.yaml
```
Vedrai che il pod è stato implementato correttamente.
Elimina il pod:
```
kubectl delete -f pod.yaml
```

Disattiva tutto

Questa sezione mostra un caso di errore. In questa sezione, configurerai il criterio predefinito per non consentire il deployment dell'immagine del container.

In Google Cloud:

Console

Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

Vai ad Autorizzazione binaria
Assicurati che il progetto host del parco risorse sia selezionato.
Fai clic su Modifica criterio.
In Regola predefinita del progetto, seleziona Non consentire tutte le immagini.
Fai clic su Salva criterio.

gcloud

Imposta PROJECT_ID sull'ID progetto host del tuo parco risorse.
```
export PROJECT_ID=PROJECT_ID
```

Imposta il progetto Google Cloud predefinito.

gcloud config set project ${PROJECT_ID}

Esporta il file YAML del criterio:

gcloud container binauthz policy export  > policy.yaml

Modifica policy.yaml.
Imposta evaluationMode su ALWAYS_DENY.
Se il file contiene un blocco requireAttestationsBy, eliminalo.
Salva il file.

Importa policy.yaml come segue:

gcloud container binauthz policy import policy.yaml

Nella workstation di amministrazione, svolgi i seguenti passaggi:

Crea un file manifest per un pod.

Salva quanto segue in un file denominato pod.yaml:

apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: test-container
    image: gcr.io/google-samples/hello-app@sha256:c62ead5b8c15c231f9e786250b07909daf6c266d0fcddd93fea882eb722c3be4

Crea il pod:

kubectl apply -f pod.yaml

Vedrai che il deployment del pod è stato bloccato. L'output è simile al seguente:

Error from server (VIOLATES_POLICY): error when creating "pod.yaml": admission webhook "binaryauthorization.googleapis.com" denied the request: Denied by default admission rule. Overridden by evaluation mode

Recupera l'ID risorsa cluster utente

Questa sezione mostra come comporre l'ID risorsa del cluster per il tuo cluster di utenti. Nel criterio di autorizzazione binaria, puoi creare regole specifiche per i cluster. Associa queste regole a un ID risorsa specifico per il cluster, basato sull'ID cluster.

L'ID risorsa viene visualizzato come segue:

Console

Nella console Google Cloud, vai alla pagina Cluster di GKE.

Vai a Cluster
Seleziona l'ID progetto host del parco risorse per i tuoi cluster. Puoi trovare questo ID progetto nella sezione gkeConnect del file di configurazione del cluster utente.
Nell'elenco dei cluster, individua l'ID cluster nella colonna Nome.
Per creare l'ID risorsa, aggiungi il prefisso global. all'ID cluster in modo che l'ID risorsa abbia il seguente formato:global.CLUSTER_ID.

gcloud

Utilizza SSH per connetterti alla workstation di amministrazione.
Nella workstation di amministrazione, esegui il seguente comando:
```
kubectl get membership -o yaml
```

Recupera l'ID cluster dal campo spec.owner.id dell'output. Di seguito è riportato un output di esempio:

apiVersion: v1
items:
- apiVersion: hub.gke.io/v1
  kind: Membership
  ...
  spec:
    owner:
      id: //gkehub.googleapis.com/projects/PROJECT_NUMBER/locations/global/memberships/my-cluster-id

Nell'output di esempio, l'ID cluster è my-cluster-id.

Per creare l'ID risorsa, aggiungi il prefisso global. all'ID cluster. Nel esempio, l'ID risorsa è global.my-cluster-id.

Utilizza questo ID risorsa quando definisci regole specifiche per il cluster. Scopri come impostare regole specifiche per il cluster utilizzando la console Google Cloud o l'interfaccia a riga di comando gcloud.

Aggiorna il criterio di errore

Il webhook del Modulo di autorizzazione binaria può essere configurato in modo da non avere esito o avere esito negativo.

Chiusura non riuscita

Per aggiornare il criterio di errore in modo che la chiusura avvenga in caso di errore:

Modifica il file manifest-0.2.6.yaml e imposta failurePolicy su Fail

Riattiva l'webhook:

kubectl apply -f manifest-0.2.6.yaml

Viene visualizzato un output simile al seguente:

serviceaccount/binauthz-admin unchanged
role.rbac.authorization.k8s.io/binauthz-role configured
clusterrole.rbac.authorization.k8s.io/binauthz-role configured
rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
secret/binauthz-tls unchanged
service/binauthz unchanged
deployment.apps/binauthz-module-deployment unchanged
validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured

Fail open

Per aggiornare il criterio di errore in modo che sia di tipo fail open:

Modifica il file manifest-0.2.6.yaml e imposta failurePolicy su Ignore

Riattiva l'webhook:

kubectl apply -f manifest-0.2.6.yaml

Viene visualizzato un output simile al seguente:

serviceaccount/binauthz-admin unchanged
role.rbac.authorization.k8s.io/binauthz-role configured
clusterrole.rbac.authorization.k8s.io/binauthz-role configured
rolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
clusterrolebinding.rbac.authorization.k8s.io/binauthz-rolebinding unchanged
secret/binauthz-tls unchanged
service/binauthz unchanged
deployment.apps/binauthz-module-deployment unchanged
validatingwebhookconfiguration.admissionregistration.k8s.io/binauthz-validating-webhook-configuration configured

Per scoprire di più, consulta le norme relative agli errori dei webhook.

Esegui la pulizia

Il seguente esempio di codice mostra come disattivare il webhook:

kubectl delete ValidatingWebhookConfiguration/binauthz-validating-webhook-configuration

Il seguente esempio di codice mostra come riattivare l'webhook:
```
kubectl apply -f manifest-0.2.6.yaml
```
Il seguente esempio di codice mostra come eliminare tutte le risorse relative all&#Autorizzazione binaria:
```
kubectl delete -f manifest-0.2.6.yaml
kubectl delete namespace binauthz-system
```

Passaggi successivi

Per verificare la conformità ai criteri durante la creazione del pod senza bloccarne effettivamente la creazione, consulta Attivare la modalità di prova.
Per forzare la creazione di un pod che l'applicazione dell'Autorizzazione binaria bloccherebbe, consulta Utilizzare la procedura di emergenza.
Utilizza l'attestatore built-by-cloud-build per eseguire il deployment solo delle immagini create da Cloud Build.
Per implementare un criterio di autorizzazione binaria basato su attestatore, consulta quanto segue:
- Configura un criterio utilizzando la console Google Cloud o lo strumento a riga di comando. Imposta la regola predefinita o specifica per il cluster in modo che richieda le attestazioni.
- Crea un attestatore utilizzando la console Google Cloud o lo strumento a riga di comando.
- Crea un'attestazione.
Per visualizzare gli eventi dei log relativi all'Autorizzazione binaria per Distributed Cloud, consulta Visualizzare gli eventi di Cloud Audit Logs.
Monitora le metriche.