Mengaktifkan validasi berkelanjutan di tingkat armada

Jika Anda telah mengaktifkan edisi Google Kubernetes Engine (GKE) Enterprise, Anda dapat mengaktifkan validasi berkelanjutan (CV) sebagai konfigurasi default fleet. Artinya, setiap cluster GKE di Google Cloud baru yang didaftarkan selama pembuatan cluster akan mengaktifkan CV di cluster. Anda dapat mengetahui lebih lanjut konfigurasi default fleet di Mengelola fitur tingkat fleet.

Sebelum memulai

  1. Aktifkan Otorisasi Biner.
  2. Aktifkan GKE Enterprise.
  3. Update Google Cloud CLI ke versi 457.0.0 atau yang lebih baru.
  4. Buat kebijakan platform Anda.

Mengaktifkan di armada baru

Untuk mengaktifkan CV di fleet baru, jalankan perintah berikut:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ganti kode berikut:

  • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
  • POLICY_ID: ID kebijakan

Anda juga dapat membuat armada baru dengan beberapa kebijakan platform:

gcloud container fleet create \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_1 \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID_2

Mengaktifkan di perangkat yang ada

Jika sudah memiliki armada, Anda dapat mengaktifkan CV. Namun, mengaktifkan CV untuk fleet yang ada tidak memengaruhi beban kerja di cluster anggota fleet yang ada. Jika Anda ingin workload yang ada memiliki CV yang diaktifkan, Anda harus mengaktifkan fitur di masing-masing cluster.

Untuk mengaktifkan CV di fleet yang ada, jalankan perintah berikut:

gcloud container fleet update \
    --binauthz-evaluation-mode=POLICY_BINDINGS \
    --binauthz-policy-bindings=name=projects/POLICY_PROJECT_ID/platforms/gke/policies/POLICY_ID

Ganti kode berikut:

  • POLICY_PROJECT_ID: ID project tempat kebijakan disimpan
  • POLICY_ID: ID kebijakan

Nonaktifkan

Menonaktifkan CV hanya memengaruhi workload di cluster anggota fleet baru. Jika ingin menonaktifkan CV untuk workload yang ada, Anda harus menonaktifkan fitur di masing-masing cluster.

Untuk menonaktifkan CV di cluster anggota baru, jalankan perintah berikut:

gcloud container fleet update \
    --binauthz-evaluation-mode=DISABLED