Per abilitare Autorizzazione binaria per i cluster collegati a GKE, segui questi passaggi:
Abilita l'API Binary Authorization nel tuo progetto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del tuo progetto Google Cloud .Concedi il ruolo
binaryauthorization.policyEvaluatoral account di servizio Kubernetes associato all'agente Autorizzazione binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Abilita Autorizzazione binaria durante la registrazione o l'aggiornamento di un cluster.
Registra un cluster
Per abilitare Autorizzazione binaria durante la registrazione di un cluster, utilizza il comando
gcloud container attached clusters register. Segui le istruzioni riportate in collega il cluster AKS e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del cluster.Aggiorna un cluster
Per abilitare Autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando
gcloud container attached clusters update. Segui le istruzioni riportate in Aggiorna il cluster AKS e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del cluster.
Se segui questi passaggi, ti assicuri che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei cluster GKE. In questo modo si mantiene un ambiente sicuro per le tue applicazioni.
Configurare i criteri
L'attivazione di Autorizzazione binaria da sola non protegge automaticamente il cluster. Per impostazione predefinita, consente il deployment di tutte le immagini container se non è configurato alcun criterio. Ciò significa che per proteggere efficacemente il cluster, devi definire e applicare un criterio che specifichi quali immagini sono consentite. Per scoprire come configurare un criterio di autorizzazione binaria, consulta Configurare un criterio utilizzando Google Cloud CLI.