Anthos clusters on VMware ora è Google Distributed Cloud (solo software) per VMware. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare l'applicazione dei criteri di Autorizzazione binaria

L'autorizzazione binaria per Google Distributed Cloud è una funzionalità di Google Cloud che estende l'applicazione ospitata in fase di deployment di Autorizzazione binaria ai tuoi cluster di utenti on-premise. Il caso d'uso principale di Autorizzazione binaria su Google Distributed Cloud è proteggere i carichi di lavoro sui cluster di utenti. Segui i passaggi di questa guida per applicare le regole di applicazione di un criterio di autorizzazione binaria configurato nel tuo progetto Google Cloud ai tuoi cluster di utenti. Per ulteriori informazioni su criteri e regole di Autorizzazione binaria, consulta la Panoramica di Autorizzazione binaria.

Prerequisiti

Prima di poter attivare l'applicazione dei criteri di autorizzazione binaria per un cluster di utenti, assicurati di soddisfare i seguenti criteri di prerequisito:

Registra il cluster in un parco risorse: per un cluster creato con gkectl, il cluster viene registrato nel progetto Google Cloud specificato nel campo gkeConnect.projectID del file di configurazione del cluster. Questo progetto è denominato progetto host del parco risorse. Per scoprire di più sui parchi risorse, inclusi casi d'uso, best practice ed esempi, consulta la documentazione relativa alla gestione dei parchi risorse.
Abilita l'API Binary Authorization nel tuo progetto Google Cloud: abilita Autorizzazione binaria Authorization nel tuo progetto host del parco.
Aggiungi il ruolo Valutatore criterio di autorizzazione binaria al progetto host del tuo parco risorse: per concedere il ruolo Valutatore criterio di autorizzazione binaria (roles/binaryauthorization.policyEvaluator) all'account di servizio Kubernetes nel progetto host del tuo parco risorse, esegui il seguente comando:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \
    --role="roles/binaryauthorization.policyEvaluator"
```
Se il cluster è in esecuzione dietro un server proxy, assicurati che il server proxy consenta le connessioni all'API Binary Authorization (binaryauthorization.googleapis.com). Questa API fornisce convalida e controllo del deployment basati su criteri per le immagini di cui è stato eseguito il deployment nel cluster. Per maggiori informazioni, consulta Proxy e regole firewall.

Una volta soddisfatti i prerequisiti, puoi attivare (o disattivare) il criterio di autorizzazione binaria quando crei un nuovo cluster o aggiorni un cluster esistente.

Attiva il criterio di Autorizzazione binaria durante la creazione del cluster

Puoi abilitare l'applicazione dei criteri di Autorizzazione binaria con gkectl o gcloud CLI.

`gkectl`

Per abilitare l'Autorizzazione binaria quando crei un cluster con gkectl:

Prima di creare il cluster, aggiungibinaryAuthorization.evaluationMode al file di configurazione del cluster utente come mostrato nell'esempio seguente:
```
...
binaryAuthorization:
  evaluationMode: "project_singleton_policy_enforce"
...
```
I valori consentiti per evaluationMode sono:
- project_singleton_policy_enforce: applica le regole specificate nel criterio di autorizzazione binaria, noto anche come criterio progetto-singleton, al tuo progetto Google Cloud per gestire il deployment delle immagini contenitore nel cluster.
- disabled: disattiva l'utilizzo di Autorizzazione binaria per il tuo cluster. Questo è il valore predefinito. Se ometti binaryAuthorization, la funzionalità viene disattivata.
Apporta le altre modifiche necessarie al file di configurazione del cluster, quindi esegui il comando gkectl create cluster.

Per ulteriori informazioni sulla creazione di cluster, consulta Panoramica dell'installazione di Google Distributed Cloud.

Attivare o disattivare il criterio di autorizzazione binaria per un cluster esistente

Se hai già un cluster della versione 1.28 o successiva, puoi attivare o disattivare l'autorizzazione binaria in qualsiasi momento utilizzando gkectl o gcloud CLI.

`gkectl`

Per attivare:
1. Modifica il file di configurazione del cluster per aggiungere i campi binaryAuthorization:
```
...
binaryAuthorization:
  evaluationMode: "project_singleton_policy_enforce"
```
2. Aggiorna il cluster:
```
gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --config USER_CLUSTER_CONFIG_FILE \
  --force
```
  Sostituisci quanto segue:
  - ADMIN_CLUSTER_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione
  - USER_CLUSTER_CONFIG_FILE: il percorso del file di configurazione del cluster utente.
3. Attendi che il deployment denominato binauthz-module-deployment nello spazio dei nomi binauthz-system sia pronto.
  
  Quando il deployment è pronto, Autorizzazione binaria applica le regole specificate nel criterio di Autorizzazione binaria, noto anche come criterio singleton del progetto. Questo criterio è associato al tuo progetto Google Cloud e specifica le regole che regolano il deployment delle immagini container. Per ulteriori informazioni sull'utilizzo di gkectl per aggiornare un cluster, consulta Aggiornare i cluster. Per ulteriori informazioni sui criteri e sulle regole di Autorizzazione binaria, consulta la Panoramica di Autorizzazione binaria.
Per disattivarla:
1. Modifica il file di configurazione del cluster e rimuovi la sezione binaryAuthorization o imposta evaluationMode su disabled.
```
...
binaryAuthorization:
  evaluationMode: "disabled"
```
2. Aggiorna il cluster:
```
gkectl update cluster \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --config USER_CLUSTER_CONFIG_FILE \
  --force
```
Dopo aver apportato questa modifica, attendi qualche minuto fino a quando il deployment denominato binauthz-module-deployment nello spazio dei nomi binauthz-system non viene rimosso.

Risoluzione dei problemi

Se non completi tutti i prerequisiti, potresti visualizzare un messaggio come quello riportato di seguito che indica un problema con la configurazione di Autorizzazione binaria:

failed to validate Binary Authorization policy

(1) Ensure the Binary Authorization API is enabled for your Google Cloud project:
    gcloud services enable binaryauthorization.googleapis.com --project=PROJECT_ID
(2) Ensure an IAM policy binding is in place granting binaryauthorization.policyEvaluator role to the binauthz-system/binauthz-agent Kubernetes service account:
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \
        --role=roles/binaryauthorization.policyEvaluator