啟用二進位授權

如要為 GKE 連結的叢集啟用二進位授權,請執行下列步驟:

  1. 在專案中啟用 Binary Authorization API:

    gcloud services enable binaryauthorization.googleapis.com \
      --project=PROJECT_ID
    

    PROJECT_ID 替換為專案 ID。Google Cloud

  2. binaryauthorization.policyEvaluator 角色授予與 Binary Authorization 代理程式相關聯的 Kubernetes 服務帳戶:

    gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \
      --role="roles/binaryauthorization.policyEvaluator"
    
  3. 註冊或更新叢集時啟用二進位授權。

    註冊叢集

    如要在註冊叢集時啟用二進位授權,請使用 gcloud container attached clusters register 指令。請按照連結 AKS 叢集中的操作說明,並加入選用引數 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

    gcloud container attached clusters register CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME 替換為叢集名稱。

    更新叢集

    如要在更新叢集時啟用二進位授權,請使用 gcloud container attached clusters update 指令。請按照更新 AKS 叢集中的操作說明,並加入選用引數 --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE

    gcloud container attached clusters update CLUSTER_NAME \
      ...
      --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE
    

    CLUSTER_NAME 替換為叢集名稱。

按照這些步驟操作,即可確保只有經過驗證的受信任映像檔,可用於在 GKE 叢集中建立 Kubernetes 容器。這有助於維護應用程式的安全環境。

設定政策

單獨啟用二進位授權功能,並不會自動保護叢集。 如果未設定任何政策,預設會允許部署所有容器映像檔。也就是說,如要有效保護叢集,您必須定義並強制執行政策,指定允許使用的映像檔。如要瞭解如何設定二進位授權政策,請參閱使用 Google Cloud CLI 設定政策