מידע על אישור של עומסי עבודה עם הרשאות במצב Autopilot

אתם יכולים לקבוע אילו עומסי עבודה עם הרשאות יכולים לפעול במצב Autopilot של Google Kubernetes Engine ‏ (GKE) באמצעות רשימות היתרים ומדיניות. במאמר הזה מוסבר על האילוצים שמוגדרים כברירת מחדל ב-Autopilot ומיושמים על עומסי עבודה, על הסוגים של עומסי עבודה עם הרשאות שאפשר להריץ במצב Autopilot ועל השיטות לשליטה בגישה לעומסי עבודה עם הרשאות.

המסמך הזה מיועד לאנשים הבאים:

• אדמינים ומפעילים של פלטפורמות שרוצים להריץ עומסי עבודה עם הרשאות ב-GKE ממקורות שונים במצב Autopilot.
• אדמינים של זהויות וחשבונות שרוצים לשפר את רמת האבטחה של הארגון על ידי חסימה של כל עומסי העבודה עם הרשאות מיוחדות, למעט עומסי עבודה ספציפיים.

מידע על עומסי עבודה עם הרשאות במצב Autopilot

כדי לשפר את מצב האבטחה, במצב Autopilot, קלאסטרים וצמתים אוכפים אילוצים ספציפיים של אבטחה כברירת מחדל. לדוגמה, Autopilot דוחה את רוב ה-Pods שמגדירים את השדה spec.securityContext.privileged לערך true בקונטיינר. עומסי עבודה עם הרשאות מיוחדות ב-Autopilot הם עומסי עבודה שלא עומדים במגבלות ברירת המחדל האלה. כברירת מחדל, צמתים ב-Autopilot בארגון Cloud de Confiance דוחים עומסי עבודה עם הרשאות.

עומסי עבודה ספציפיים עם הרשאות מיוחדות יכולים לפעול במצב Autopilot רק אם באשכול יש רשימות היתרים שתואמות לעומסי העבודה האלה. כשמנהל אשכול יוצר או משנה אשכול, הוא יכול לציין נתיבים לרשימות ההיתרים שהאשכול יכול להריץ. כברירת מחדל, כל Cloud de Confiance ארגון תומך ברשימות היתרים משותפי Autopilot ומפרויקטים מאומתים של קוד פתוח.

אדמינים ארגוניים יכולים לשנות את התנהגות ברירת המחדל הזו בדרכים הבאות באמצעות Organization Policy Service:

• אפשר להשתמש בכל עומסי העבודה משותפי GKE Autopilot ומעומסי עבודה מאומתים של קוד פתוח. זאת התנהגות ברירת המחדל בכל הארגונים שלCloud de Confiance .
• לאפשר עומסי עבודה ספציפיים של שותפים או עומסי עבודה מאומתים של קוד פתוח.
• לאפשר רק לעומסי עבודה ספציפיים עם הרשאות מיוחדות שנמצאים בבעלות הלקוח.
• דחיית כל עומסי העבודה עם הרשאות מיוחדות.

הגישה הזו של דחיית כל הבקשות ואז אישור חלק מהן היא שיטה מומלצת לאבטחה שמאפשרת לכם לשלוט בדיוק במה שמופעל עם הרשאות מורחבות באשכולות GKE.

כדאי לשלוט בעומסי עבודה עם הרשאות במצב Autopilot במצבים הבאים:

• אתם מריצים עומסי עבודה במצב Autopilot באשכולות רגילים ואתם רוצים שעומסי עבודה עם הרשאות ירוצו על הצמתים האלה.
• אתם רוצים לאפשר רק לקבוצה ספציפית של עומסי עבודה עם הרשאות מיוחדות לפעול בארגון, בתיקייה או בפרויקט.

מקורות של עומסי עבודה עם הרשאות ב-Autopilot

בטבלה הבאה מפורטים סוגי עומסי העבודה עם הרשאות מיוחדות שאפשר להריץ ב-Autopilot:

איך פועל בקרת הגישה לעומסי עבודה עם הרשאות

כדי לאפשר לעומסי עבודה ספציפיים עם הרשאות להפעיל את הצמתים שלכם ב-Autopilot, אתם מתקינים רשימות היתרים שתואמות לכל עומס עבודה. רשימות ההיתרים האלה הן משאבים מותאמים אישית של Kubernetes מסוג WorkloadAllowlist. ‫GKE מאמת את פרטי העומס בהשוואה לכל רשימות ההיתרים של עומסי העבודה באשכול, ומאפשר גישה רק אם הפרטים תואמים. כברירת מחדל, כל אשכול Autopilot או אשכול רגיל בארגון מאפשר לכם להתקין רשימות היתרים של עומסי עבודה עבור עומסי עבודה של שותפי Autopilot ועבור עומסי עבודה של קוד פתוח. Cloud de Confiance

באופן כללי, כדי להריץ עומסי עבודה עם הרשאות בצמתי Autopilot צריך לבצע את השלבים הבאים:

1. האדמין הארגוני מאמת שהמגבלה container.managed.autopilotPrivilegedAdmission מנוהלת של מדיניות הארגון מאפשרת התקנה של רשימות היתרים ממקור ספציפי. מידע נוסף זמין בקטע הגבלות שמוגדרות על ידי מדיניות הארגון לגבי רשימות היתרים.
2. עבור עומסי עבודה עם הרשאות מיוחדות שבבעלות הלקוח, האדמין של הפלטפורמה יוצר רשימות היתרים שתואמות לעומסי העבודה עם ההרשאות המיוחדות. מידע נוסף מופיע בקטע בנושא עומסי עבודה עם הרשאות מורחבות בבעלות הלקוח.
3. אדמין האשכול מגדיר אשכול Autopilot או אשכול רגיל כדי לאפשר התקנה של רשימות היתרים ממקור ספציפי. מידע נוסף מופיע בקטע הגדרת אשכול.
4. אדמין האשכול יוצר AllowlistSynchronizer שמפנה לנתיב של הרשימה הלבנה. הכלי AllowlistSynchronizer מתקין את רשימת ההיתרים ושומר אותה מעודכנת. מידע נוסף זמין בקטע התקנה של רשימת ההיתרים.

אחרי השלמת השלבים האלה, מפעיל אפליקציה יכול לפרוס את עומס העבודה עם הרשאות היתר באשכול.

אילוץ מנוהל של מדיניות הארגון לגבי רשימות היתרים

כברירת מחדל, כל ארגון Cloud de Confiance אוכף מדיניות ארגון שמבוססת על container.managed.autopilotPrivilegedAdmission אילוץ מנוהל.

האילוץ המנוהל הזה כולל את הפרמטרים הבאים:

• ‫allowAnyGKEPath: ערך בוליאני שמאפשר לאדמינים של אשכולות להגדיר אשכולות להתקנה מרשימת ההיתרים מנתיבים עם הקידומת gke://. יש תמיכה בערכים הבאים:

  • ‫true: מאפשר לאדמינים של אשכולות להגדיר אשכולות עם מקורות ברירת המחדל של רשימת ההיתרים של GKE, עם כל נתיב של רשימת היתרים שמתחיל ב-gke://, או עם מחרוזת ריקה (שמונעת את כל רשימות ההיתרים). זה ערך ברירת המחדל של הפרמטר allowAnyGKEPath.
  • ‫false: דורש מאדמינים של אשכולות להגדיר אשכולות עם מחרוזת ריקה עבור מקורות ברשימת ההיתרים או עם נתיבים כלשהם ברשימת ההיתרים מהפרמטר allowPaths.

• ‫allowPaths: רשימה של מקורות מאושרים ברשימת ההיתרים, שמנהלי אשכולות יכולים לציין ערכים מתוכה כשהם מגדירים אשכול.

אדמינים ארגוניים יכולים לעדכן את הפרמטרים של המדיניות הזו כדי לקבוע אילו עומסי עבודה עם הרשאות מיוחדות יכולים לפעול בארגון שלהם. Cloud de Confianceלדוגמה, הגדרת מדיניות הארגון הבאה מאפשרת לאדמינים של אשכולות להתקין רשימות היתרים רק עבור עומס עבודה ספציפי של שותף Cloud de Confiance:

name: organizations/ORGANIZATION_ID/policies/container.managed.autopilotPrivilegedAdmission
spec:
  rules:
  - enforce: true
    parameters:
      allowAnyGKEPath: ALLOW_GKE_PATHS
      allowPaths:
      - PATH1
      - PATH2
      - PATH3

מחליפים את מה שכתוב בשדות הבאים:

• ‫ALLOW_GKE_PATHS: האם לאפשר רשימות היתרים שאושרו על ידי GKE. מציינים אחד מהערכים הבאים:

  • ‫True: מאפשרת הגדרת אשכול עם עומסי עבודה של שותפים ב-GKE או עם עומסי עבודה מאומתים של קוד פתוח. זה ערך ברירת המחדל.
  • ‫False: מאפשר להגדיר את האשכול רק באמצעות הנתיבים בשדה allowPaths.

• PATH1, PATH2, ...: רשימת נתיבים למקורות מאושרים ברשימת ההיתרים שאדמינים של אשכולות יכולים להשתמש בהם כשהם מגדירים אשכולות. כברירת מחדל, הפרמטר הזה ריק. אם מציינים נתיבים לפרמטר הזה, אדמינים של אשכולות צריכים לציין אפס או יותר מהנתיבים האלה כשהם יוצרים או מעדכנים אשכול.

מידע נוסף על שליטה בהרשאת עומסי עבודה עם הרשאות מיוחדות במדיניות הארגון זמין במאמר הגבלת עומסי עבודה עם הרשאות מיוחדות ב-GKE בארגונים.

עומסי עבודה עם הרשאות בבעלות הלקוח

אם אתם לקוחות GKE, יכול להיות שיש לכם עומסי עבודה מיוחדים שדורשים יותר הרשאות באשכול מאשר המגבלות האוטומטיות של Autopilot מאפשרות. ב-GKE בגרסה 1.35 ואילך, אפשר ליצור רשימות היתרים כדי להחריג את עומסי העבודה האלה מהאילוצים של Autopilot שמוגדרים כברירת מחדל.

רשימת ההיתרים היא קובץ YAML שמגדיר משאב מותאם אישית של Kubernetes WorkloadAllowlist. המפרט של WorkloadAllowlist תואם לשדות שונים במפרט של Kubernetes Pod. כשמגדירים WorkloadAllowlist, צריך להתאים את הערכים ב-WorkloadAllowlist לשדות המתאימים במפרט של עומס העבודה עם ההרשאות. אתם מאחסנים את קובצי ה-YAML בקטגוריה של Cloud Storage.

כדי להתקין את רשימות ההיתרים האלה בבעלות הלקוח באשכול, צריך לבצע את השלבים הבאים:

1. האדמין בארגון מוסיף את הנתיבים של Cloud Storage למדיניות הארגון. מידע נוסף זמין בקטע מידע על האילוץ המנוהל של מדיניות הארגון.
2. מוסיפים את הנתיבים של Cloud Storage להגדרת אשכול. מידע נוסף זמין בקטע הגדרת אשכול.

למידע נוסף על יצירת רשימות היתרים משלכם לעומסי עבודה, אפשר לקרוא את המאמר יצירת רשימות היתרים לעומסי עבודה עם הרשאות ב-Autopilot.

הגדרת אשכול

כדי להריץ עומס עבודה עם הרשאות במצב Autopilot, אדמין של אשכול מוסיף נתיב אחד או יותר של רשימת היתרים מאושרת להגדרת האשכול. אחרי שמוסיפים את הנתיבים לאשכול, מפעילים של אפליקציות יכולים להתקין את רשימות ההיתרים המתאימות ואת עומסי העבודה עם הרשאות באשכול.

כברירת מחדל, אפשר להתקין רשימות היתרים משותפי Autopilot ומפרויקטים מאושרים בקוד פתוח. יכול להיות שקבוצת ברירת המחדל הזו של מקורות מאושרים לרשימות ההיתרים תשתנה בגלל מדיניות הארגון, כמו שמתואר בקטע הקודם. אם מדיניות ארגונית שולטת בנתיבים המאושרים ברשימת ההיתרים, צריך לתאם עם האדמין בארגון כדי לזהות את הנתיבים האלה. אחר כך תוכלו לציין נתיב מאושר אחד או יותר בהגדרות של האשכול.

מידע נוסף על הגדרת אשכולות זמין במאמר הרצת עומסי עבודה עם הרשאות ב-Autopilot.

הוספה לרשימת ההיתרים של התקנה

כדי להתקין רשימת היתרים ממקור מאושר באשכול, משתמשים במשאב מותאם אישית של Kubernetes שנקרא AllowlistSynchronizer. אתם מגדירים ויוצרים AllowlistSynchronizers באופן דומה לאופן שבו אתם יוצרים משאבי Kubernetes אחרים, כמו Pods ו-Deployments. לכל AllowlistSynchronizer יש רשימה של נתיבים לרשימות ההיתרים שרוצים להתקין באשכול.

כשיוצרים AllowlistSynchronizer, ‏ GKE מתקין רשימות היתרים מהנתיבים האלה ושומר על עדכניות של רשימות ההיתרים. כל 10 דקות,‏ GKE בודק אם יש שינויים בקבצים של רשימת ההיתרים. אם יש עדכון, הכלי לסנכרון מתקין את רשימת ההיתרים המעודכנת באשכול.

אחרי ש-GKE מתקין רשימת היתרים על סמך AllowlistSynchronizer, אפשר ליצור את עומס העבודה המתאים עם הרשאות מיוחדות באשכול.

מידע נוסף על התקנת רשימות היתרים באשכול זמין במאמר הרצת עומסי עבודה עם הרשאות ב-Autopilot.

נתיבים ברשימת ההיתרים

כשמגדירים תמיכה ברשימת היתרים במדיניות הארגון או באשכולות, מציינים נתיבים לאחת או יותר רשימות היתרים של עומסי עבודה שאושרו להתקנה. התחביר של הנתיבים האלה תלוי במי שיצר את WorkloadAllowlist, באופן הבא:

• שותפים ספציפיים של Autopilot ופרויקטים מאושרים בקוד פתוח:

  gke://REPOSITORY_PATH/SELECTOR
  

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫REPOSITORY_PATH: הנתיב לספרייה שמכילה רשימות היתרים לעומס העבודה, כמו Grafana/alloy. למידע נוסף על הנתיבים ברשימת ההיתרים של עומסי העבודה האלה, אפשר לעיין בדפים הבאים:
    • עומסי עבודה של שותפים ב-Autopilot
    • עומסי עבודה של קוד פתוח עם הרשאות מיוחדות ותמיכה ב-Autopilot
  • ‫SELECTOR: השם של קובץ ספציפי או התו *, שבוחר כל קובץ בספרייה הזו.

  לדוגמה, הנתיב הבא בוחר כל רשימת היתרים בספרייה Grafana/alloy:

  gke://Grafana/alloy/*
  

• עומסי עבודה עם הרשאות מיוחדות בבעלות הלקוח:

  gs://DIRECTORY_PATH/SELECTOR
  

  מחליפים את DIRECTORY_PATH בנתיב לספרייה ב-Cloud Storage שמכילה את הקבצים של רשימת ההיתרים. אפשר לציין כמה נתיבים.

אתם יכולים לציין נתיב אחד או יותר מהנתיבים שלמעלה במדיניות הארגון או בהגדרות האשכול. לדוגמה, אפשר להוסיף עומסי עבודה של שותפי GKE ועומסי עבודה בבעלות הלקוח לאותה הגדרה. אפשר גם להשתמש בתו * כדי לבחור את כל רשימות ההיתרים. לדוגמה, gke://* בוחר כל רשימת היתרים שאושרה על ידי GKE מכל מקור.

בטבלה הבאה מתוארת ההגדרה שנדרשת במדיניות הארגון או באשכולות כדי לתמוך ביעדים מסוימים:

המאמרים הבאים

• הגבלת עומסי עבודה עם הרשאות ב-GKE בארגונים.
• הפעלת עומסי עבודה עם הרשאות ב-Autopilot.