Google Distributed Cloud 的二進位授權是一項 Google Cloud 功能,可將二進位授權的代管部署時間強制執行功能,擴展至您的地端使用者叢集。Google Distributed Cloud 的二進位授權主要用途,是保護使用者叢集中的工作負載。請按照本指南中的步驟,將 Google Cloud 專案中設定的二進位授權政策強制執行規則,套用至使用者叢集。如要進一步瞭解二進位授權政策和規則,請參閱 二進位授權總覽。
必要條件
如要為使用者叢集啟用二進位授權政策強制執行功能,請先確認您符合下列先決條件:
向機群註冊叢集:如果是使用
gkectl
建立的叢集,叢集會向您在叢集設定檔的gkeConnect.projectID
欄位中指定的 Google Cloud 專案註冊。這個專案稱為「機群主專案」。如要進一步瞭解機群 (包括用途、最佳做法和範例),請參閱機群管理文件。在專案中啟用 Binary Authorization API: Google Cloud 在車隊主機專案中啟用 Binary Authorization 服務。
將「二進位授權政策評估者」角色新增至車隊主機專案:如要將「二進位授權政策評估者」(
roles/binaryauthorization.policyEvaluator
) 角色授予車隊主機專案的 Kubernetes 服務帳戶,請執行下列指令:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \ --role="roles/binaryauthorization.policyEvaluator"
如果叢集在 Proxy 伺服器後方執行,請確認 Proxy 伺服器允許連線至 Binary Authorization API (
binaryauthorization.googleapis.com
)。這個 API 可根據政策驗證及控管部署至叢集的映像檔。詳情請參閱「Proxy 和防火牆規則 Proxy」。
滿足必要條件後,您可以在建立新叢集或更新現有叢集時,啟用 (或停用) 二進位授權政策。
在建立叢集時啟用二進位授權政策
您可以使用 gkectl
或 gcloud CLI 啟用二進位授權政策強制執行功能。
gkectl
如要在使用 gkectl
建立叢集時啟用二進位授權,請按照下列步驟操作:
建立叢集前,請將
binaryAuthorization.evaluationMode
新增至使用者叢集設定檔,如下列範例所示:... binaryAuthorization: evaluationMode: "project_singleton_policy_enforce" ...
evaluationMode
的有效值如下:project_singleton_policy_enforce
:在 Google Cloud 專案中強制執行二進位授權政策 (也稱為專案單一政策),控管叢集中的容器映像檔部署作業。disabled
:停用叢集的二進位授權。 這是預設值。如果省略binaryAuthorization
,這項功能就會停用。
在叢集設定檔中進行任何其他必要變更,然後執行
gkectl create cluster
指令。
如要進一步瞭解如何建立叢集,請參閱「Google Distributed Cloud 安裝總覽」。
為現有叢集啟用或停用二進位授權政策
如果您有現有的 1.28 以上版本叢集,隨時可以使用 gkectl
或 gcloud CLI 啟用或停用二進位授權。
gkectl
啟用方式:
編輯叢集設定檔,新增
binaryAuthorization
欄位:... binaryAuthorization: evaluationMode: "project_singleton_policy_enforce"
更新叢集:
gkectl update cluster \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config USER_CLUSTER_CONFIG_FILE \ --force
更改下列內容:
ADMIN_CLUSTER_KUBECONFIG
:管理員叢集 kubeconfig 檔案的路徑USER_CLUSTER_CONFIG_FILE
:使用者叢集設定檔的路徑。
等待
binauthz-system
命名空間中名為binauthz-module-deployment
的 Deployment 準備就緒。準備好部署時,二進位授權會強制執行二進位授權政策中指定的規則,也就是專案單例政策。這項政策與您的Google Cloud 專案相關聯,並指定容器映像檔部署作業的控管規則。如要進一步瞭解如何使用
gkectl
更新叢集,請參閱「更新叢集」。如要進一步瞭解二進位授權政策和規則,請參閱二進位授權總覽。
如要停用,請按照下列步驟操作:
編輯叢集設定檔,然後移除
binaryAuthorization
區段,或將evaluationMode
設為disabled
。... binaryAuthorization: evaluationMode: "disabled"
更新叢集:
gkectl update cluster \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config USER_CLUSTER_CONFIG_FILE \ --force
完成這項變更後,請稍候幾分鐘,直到
binauthz-system
命名空間中名為binauthz-module-deployment
的 Deployment 移除為止。
疑難排解
如果未完成所有必要條件,您可能會看到類似下列的訊息,指出 Binary Authorization 設定有問題:
failed to validate Binary Authorization policy (1) Ensure the Binary Authorization API is enabled for your Google Cloud project: gcloud services enable binaryauthorization.googleapis.com --project=PROJECT_ID (2) Ensure an IAM policy binding is in place granting binaryauthorization.policyEvaluator role to the binauthz-system/binauthz-agent Kubernetes service account: gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \ --role=roles/binaryauthorization.policyEvaluator