Per abilitare l'autorizzazione binaria per i cluster collegati a GKE, svolgi i seguenti passaggi:
Abilita l'API Binary Authorization nel tuo progetto:
gcloud services enable binaryauthorization.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del tuo Google Cloud progetto.Concedi il ruolo
binaryauthorization.policyEvaluatorall'account di servizio Kubernetes associato all'agente di autorizzazione binaria:gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:PROJECT_ID.svc.id.goog[gke-system/binauthz-agent] \ --role="roles/binaryauthorization.policyEvaluator"Attiva Autorizzazione binaria quando registri o aggiorni un cluster.
Registra un cluster
Per abilitare l'autorizzazione binaria durante la registrazione di un cluster, utilizza il comando
gcloud container attached clusters register. Segui le istruzioni per collegare il tuo cluster EKS e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters register CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.Aggiorna un cluster
Per abilitare l'autorizzazione binaria durante l'aggiornamento di un cluster, utilizza il comando
gcloud container attached clusters update. Segui le istruzioni riportate in Aggiornare il cluster EKS, e includi l'argomento facoltativo--binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCE:gcloud container attached clusters update CLUSTER_NAME \ ... --binauthz-evaluation-mode=PROJECT_SINGLETON_POLICY_ENFORCESostituisci
CLUSTER_NAMEcon il nome del tuo cluster.
Se segui questi passaggi, ti assicuri che vengano utilizzate solo immagini attendibili e verificate per creare container Kubernetes nei tuoi cluster GKE. In questo modo, contribuisci a mantenere un ambiente sicuro per le tue applicazioni.
Configura i criteri
L'attivazione di Autorizzazione binaria da sola non protegge automaticamente il cluster. Per impostazione predefinita, consente il deployment di tutte le immagini container se non viene configurato alcun criterio. Ciò significa che, per proteggere efficacemente il tuo cluster, devi definire e applicare un criterio che specifichi quali immagini sono consentite. Per imparare a configurare un criterio di autorizzazione binaria, consulta Configurare un criterio utilizzando Google Cloud CLI.