如要為 GKE 連結的叢集啟用二進位授權,請執行下列步驟:
在專案中啟用 Binary Authorization API:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_ID將
PROJECT_ID替換為專案 ID。Google Cloud將
binaryauthorization.policyEvaluator角色授予與 Binary Authorization 代理程式相關聯的 Kubernetes 服務帳戶:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"註冊或更新叢集時啟用二進位授權。
註冊叢集
如要在註冊叢集時啟用二進位授權,請使用
gcloud container attached clusters register指令。請按照連結 AKS 叢集中的操作說明,並加入選用引數--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE將
CLUSTER_NAME替換為叢集名稱。更新叢集
如要在更新叢集時啟用二進位授權,請使用
gcloud container attached clusters update指令。請按照更新 AKS 叢集中的操作說明,並加入選用引數--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE將
CLUSTER_NAME替換為叢集名稱。
按照這些步驟操作,即可確保只有經過驗證的受信任映像檔,可用於在 GKE 叢集中建立 Kubernetes 容器。這有助於維護應用程式的安全環境。
設定政策
單獨啟用二進位授權功能,並不會自動保護叢集。 如果未設定任何政策,預設會允許部署所有容器映像檔。也就是說,如要有效保護叢集,您必須定義並強制執行政策,指定允許使用的映像檔。如要瞭解如何設定二進位授權政策,請參閱使用 Google Cloud CLI 設定政策。