Untuk mengaktifkan Otorisasi Biner untuk cluster terlampir GKE, lakukan langkah-langkah berikut:
Aktifkan Binary Authorization API di project Anda:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDGanti
PROJECT_IDdengan ID Google Cloud project Anda.Berikan peran
binaryauthorization.policyEvaluatorke akun layanan Kubernetes yang terkait dengan agen Binary Authorization:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Aktifkan Otorisasi Biner saat mendaftarkan atau mengupdate cluster.
Mendaftarkan cluster
Untuk mengaktifkan Otorisasi Biner saat mendaftarkan cluster, gunakan perintah
gcloud container attached clusters register. Ikuti petunjuk di melampirkan cluster AKS, dan sertakan argumen opsional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEGanti
CLUSTER_NAMEdengan nama cluster Anda.Mengupdate cluster
Untuk mengaktifkan Otorisasi Biner saat memperbarui cluster, gunakan perintah
gcloud container attached clusters update. Ikuti petunjuk di memperbarui cluster AKS Anda, dan sertakan argumen opsional--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCEGanti
CLUSTER_NAMEdengan nama cluster Anda.
Dengan mengikuti langkah-langkah ini, Anda memastikan bahwa hanya image tepercaya dan terverifikasi yang digunakan untuk membuat container Kubernetes di cluster GKE Anda. Hal ini membantu mempertahankan lingkungan yang aman untuk aplikasi Anda.
Mengonfigurasi kebijakan
Mengaktifkan Otorisasi Biner saja tidak akan otomatis melindungi cluster Anda. Secara default, semua image container dapat di-deploy jika tidak ada kebijakan yang dikonfigurasi. Artinya, untuk mengamankan cluster secara efektif, Anda perlu menentukan dan menerapkan kebijakan yang menentukan image mana yang diizinkan. Untuk mempelajari cara mengonfigurasi kebijakan Otorisasi Biner, lihat Mengonfigurasi kebijakan menggunakan Google Cloud CLI.