Some or all of the information on this page might not apply to Trusted Cloud by S3NS. See Differences from Google Cloud for more details.

Halaman ini diterjemahkan oleh Cloud Translation API.

Menjalankan agen VM di setiap node GKE di seluruh organisasi

Standard

Halaman ini menjelaskan cara memastikan bahwa VM Manager diaktifkan di semua instance Compute Engine, termasuk VM Google Kubernetes Engine dalam organisasi, folder, atau project, dengan menggunakan Organization Policy Service.

Panduan ini ditujukan untuk tim keamanan yang ingin memastikan bahwa semua program yang diperlukan, seperti agen keamanan dan pemantauan, berjalan di semua instance dalam organisasi, folder, atau project. Untuk menerapkan konfigurasi dengan Kebijakan Organisasi saja, gunakan panduan ini. Untuk pendekatan konfigurasi sebagai kode, gunakan Config Sync. Config Sync memungkinkan Anda mengonfigurasi dan mengontrol banyak aspek cluster serta memberikan nilai lebih dari kebijakan organisasi.

Sebelum membaca halaman ini, pastikan Anda sudah memahami VM Manager dan batasan Resource Manager.

Panduan ini menunjukkan cara menerapkan penggunaan VM Manager di setiap project di seluruh organisasi atau folder. Panduan ini tidak menunjukkan cara menyiapkan dan menggunakan VM Manager dengan kebijakan OS. Untuk mengetahui petunjuk tersebut, lihat Membuat penetapan kebijakan OS.

Tentang VM Manager

VM Manager adalah serangkaian alat yang dapat mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine. Anda dapat menggunakan VM Manager untuk menerapkan kebijakan OS guna menyesuaikan program yang berjalan di VM. Misalnya, Anda dapat menentukan kebijakan untuk menginstal agen di satu resource dan menggunakan kembali kebijakan tersebut di beberapa resource. VM Manager dinonaktifkan secara default di projectTrusted Cloud .

Anda dapat menyempurnakan tempat VM Manager menerapkan kebijakan menggunakan OSPolicyAssignments, yang memungkinkan Anda mencakup kebijakan OS ke VM tertentu menggunakan pemilih. Misalnya, semua VM node GKE memiliki label goog-gke-node, yang dapat Anda targetkan dengan penetapan kebijakan OS.

Kebijakan organisasi dan VM Manager

Jika organisasi Anda memiliki beberapa tingkat hierarki seperti folder dan subfolder, mengaktifkan VM Manager di semua project ini secara manual dapat menyebabkan overhead pengelolaan yang tidak perlu. Trusted Cloud Anda dapat mewajibkan semua project di seluruh folder atau organisasi mengaktifkan VM Manager di semua VM menggunakan Layanan Kebijakan Organisasi dengan batasan constraints/compute.requireOsConfig. Beberapa manfaat menerapkan VM Manager menggunakan kebijakan organisasi meliputi hal berikut:

Semua project baru menambahkan label metadata enable-osconfig=TRUE ke setiap project dan VM.
Jika ada yang mencoba menghapus label ini atau menyetelnya ke nilai selain true, perubahan tersebut akan ditolak.
Jika ada yang mencoba membuat atau memperbarui VM dengan cara yang menetapkan kunci metadata enable-osconfig ke nilai selain true, perubahan tersebut akan ditolak.

Sebelum memulai

Sebelum memulai, pastikan Anda telah melakukan tugas berikut:

Aktifkan Google Kubernetes Engine API.

Aktifkan Google Kubernetes Engine API

Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu lakukan inisialisasi gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan gcloud components update.
Catatan: Untuk penginstalan gcloud CLI yang ada, pastikan untuk menyetel properti compute/region. Jika Anda terutama menggunakan cluster zona, tetapkan compute/zone. Dengan menyetel lokasi default, Anda dapat menghindari error di gcloud CLI yang seperti ini: One of [--zone, --region] must be supplied: Please specify location. Anda mungkin perlu menentukan lokasi dalam perintah tertentu jika lokasi cluster Anda berbeda dengan default yang Anda tetapkan.

Pastikan Anda sudah menggunakan VM Manager dengan kebijakan OS dan penetapan kebijakan OS untuk menjalankan agen di VM Anda. Untuk mengetahui petunjuknya, lihat Membuat penetapan kebijakan OS.
Enable the Cloud Resource Manager API, OS Config API APIs.
Enable the APIs

Batasan

Kebijakan organisasi constraints/compute.requireOsConfig memiliki batasan berikut:

Resource dengan pelanggaran yang sudah ada tidak berubah oleh kebijakan organisasi baru. Anda dapat menetapkan metadata untuk kebijakan secara manual atau menggunakan gcloud pada resource yang ada.
Siapa pun yang memiliki izin untuk mengubah metadata pada instance Compute Engine dalam project dapat menonaktifkan osconfig-agent di VM dengan menetapkan kolom metadata osconfig-disabled-features.
Jika osconfig-agent tidak berjalan, VM akan ditampilkan sebagai tidak mematuhi kebijakan di dasbor VM Manager. Misalnya, hal ini dapat terjadi jika pengguna menonaktifkan agen secara manual.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk mengelola kebijakan organisasi, minta administrator Anda untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengaktifkan compute.requireOsConfig di seluruh organisasi

Setelah mengaktifkan VM Manager dan mencakup OSPolicyAssignment ke VM, Anda dapat memastikan bahwa VM Manager diaktifkan secara default di project baru dengan kebijakan organisasi constraints/compute.requireOsConfig. Cara Anda menerapkan constraints/compute.requireOsConfig bergantung pada versi API yang Anda gunakan.

Organization Policy v2 API

Anda dapat menerapkan batasan constraints/compute.requireOsConfig di seluruh resourceTrusted Cloud seperti folder atau organisasi menggunakan gcloud CLI atau konsol Trusted Cloud .

gcloud

Pastikan batasan compute.requireOsConfig belum diterapkan:
```
gcloud org-policies describe \
    constraints/compute.requireOsConfig \
    --organization=ORGANIZATION_ID
```
Ganti ORGANIZATION_ID dengan ID Organisasi Anda.

Jika kebijakan tidak disetel, perintah ini akan menampilkan error NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Jika kebijakan ada, perintah akan menampilkan kebijakan saat ini. Menerapkan kebijakan baru akan menimpa kebijakan yang ada, jika ada.

Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

Jalankan perintah set-policy:

gcloud org-policies set-policy /tmp/policy.yaml

Pastikan kebijakan baru diterapkan:

gcloud org-policies describe \
    constraints/compute.requireOsConfig --effective \
    --organization=ORGANIZATION_ID

Output perintah ini akan mirip dengan berikut ini:

name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

console

Di konsol Trusted Cloud , buka halaman Kebijakan organisasi.

Buka Organization policies
Dari pemilih project, pilih project, folder, atau organisasi yang ingin Anda edit kebijakan organisasinya.
Di halaman Kebijakan organisasi, gunakan filter untuk menelusuri compute.requireOsConfig.
Klik nama kebijakan untuk membuka halaman Detail Kebijakan.
Klik Manage policy untuk memperbarui kebijakan organisasi untuk resource ini.
Di halaman Edit kebijakan, pilih Ganti kebijakan induk.
Pilih Tambahkan aturan.
Di bagian Enforcement, ubah penerapan kebijakan organisasi ini menjadi on.
Untuk menerapkan kebijakan, klik Setel kebijakan.

Resource Manager v1 API

Pastikan batasan compute.requireOsConfig belum diterapkan:
```
gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID
```
Ganti ORGANIZATION_ID dengan ID Organisasi Anda.

Jika kebijakan tidak disetel, perintah ini akan menampilkan kebijakan yang tidak lengkap, seperti contoh berikut:
```
constraint: "constraints/compute.requireOsConfig"
etag: BwVJi0OOESU=
```
Jika kebijakan ada, perintah akan menampilkan kebijakan saat ini. Menerapkan kebijakan baru akan menimpa kebijakan yang ada, jika ada.

Tetapkan kebijakan untuk diterapkan di organisasi:

gcloud resource-manager org-policies enable-enforce constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID

Output perintah ini akan mirip dengan berikut ini:

booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig
etag: BwVJitxdiwY=

Pastikan kebijakan baru diterapkan:

gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --effective \
    --organization ORGANIZATION_ID

Output perintah ini akan mirip dengan berikut ini:

booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit untuk diterapkan sepenuhnya.

Untuk mengetahui informasi selengkapnya tentang kebijakan lain yang dapat Anda terapkan, atau cara mengubah atau menghapus kebijakan, lihat dokumentasi Resource Manager.

Langkah berikutnya

Pelajari lebih lanjut logging audit GKE.