Some or all of the information on this page might not apply to Trusted Cloud by S3NS. See Differences from Google Cloud for more details.

Esta página foi traduzida pela API Cloud Translation.

Executar agentes de VM em todos os nós do GKE nas organizações

Standard

Nesta página, descrevemos como garantir que o VM Manager esteja ativado em todas as instâncias do Compute Engine, incluindo VMs do Google Kubernetes Engine em uma organização, pasta ou projeto, usando o serviço de políticas da organização.

Este guia é destinado a equipes de segurança que querem garantir que todos os programas necessários, como agentes de segurança e monitoramento, sejam executados em todas as instâncias de uma organização, pasta ou projeto. Para aplicar a configuração somente com a política da organização, use este guia. Para uma abordagem de configuração como código, use o Config Sync. O Config Sync permite configurar e controlar vários aspectos dos clusters e oferece valor além das políticas da organização.

Antes de ler esta página, confira se você já conhece o VM Manager e as restrições do Resource Manager.

Este guia mostra como aplicar o uso do VM Manager em todos os projetos de uma organização ou pasta. Este guia não mostra como configurar e usar o VM Manager com políticas de SO. Para instruções, consulte Criar uma atribuição de política do SO.

Sobre o VM Manager

O VM Manager é um pacote de ferramentas que pode gerenciar sistemas operacionais para grandes frotas de máquina virtual (VM) que executam o Windows e o Linux no Compute Engine. É possível usar o VM Manager para aplicar políticas do SO e personalizar os programas executados nas VMs. Por exemplo, é possível definir uma política para instalar um agente em um recurso e reutilizar essa política em vários recursos. O VM Manager fica desativado por padrão em projetos do Trusted Cloud .

É possível refinar onde o VM Manager aplica políticas usando OSPolicyAssignments, que permite definir o escopo das políticas do SO para VMs específicas usando seletores. Por exemplo, todas as VMs de nó do GKE têm o rótulo goog-gke-node, que pode ser segmentado com uma atribuição de política do SO.

Políticas da organização e VM Manager

Se a sua organização Trusted Cloud tiver vários níveis de hierarquia, como pastas e subpastas, ativar o VM Manager em todos esses projetos manualmente pode causar uma sobrecarga de gerenciamento desnecessária. É possível exigir que todos os projetos em pastas ou em uma organização ativem o VM Manager em todas as VMs usando o serviço de política da organização com a restrição constraints/compute.requireOsConfig. Confira alguns benefícios de aplicar o VM Manager usando uma política da organização:

Todos os novos projetos adicionam o rótulo de metadados enable-osconfig=TRUE a cada projeto e VM.
Se alguém tentar remover esse marcador ou definir um valor diferente de true, a mudança será rejeitada.
Se alguém tentar criar ou atualizar uma VM de forma que defina a chave de metadados enable-osconfig com um valor diferente de true, essa mudança será rejeitada.

Antes de começar

Antes de começar, verifique se você realizou as seguintes tarefas:

Ativar a API Google Kubernetes Engine.

Ativar a API Google Kubernetes Engine

Se você quiser usar a CLI do Google Cloud para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a gcloud CLI anteriormente, instale a versão mais recente executando gcloud components update.
Observação:para instalações atuais da CLI gcloud, defina a propriedade compute/region. Se você usa principalmente clusters zonais, defina compute/zone. Ao definir um local padrão, você evita erros na CLI gcloud como este: One of [--zone, --region] must be supplied: Please specify location. Talvez seja necessário especificar o local em determinados comandos se o local do cluster for diferente do padrão definido.

Verifique se você já está usando o VM Manager com políticas e atribuições de políticas do SO para executar agentes nas suas VMs. Para instruções, consulte Criar uma atribuição de política do SO.
Enable the Cloud Resource Manager API, OS Config API APIs.
Enable the APIs

Limitações

A política da organização constraints/compute.requireOsConfig tem as seguintes limitações:

Os recursos com violações preexistentes não são afetados pela nova política da organização. É possível definir os metadados da política manualmente ou usando gcloud em recursos atuais.
Qualquer pessoa com permissão para mudar os metadados em instâncias do Compute Engine no projeto pode desativar o osconfig-agent na VM definindo o campo de metadados osconfig-disabled-features.
Se o osconfig-agent não estiver em execução, a VM vai aparecer como fora da conformidade no painel do VM Manager. Por exemplo, isso pode acontecer se um usuário desativou o agente manualmente.

Funções exigidas

Para receber as permissões necessárias a fim de gerenciar as políticas da organização, peça ao administrador para conceder a você o papel do IAM de Administrador de políticas da organização (roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Ativar compute.requireOsConfig em uma organização

Depois de ativar o VM Manager e definir um escopo de OSPolicyAssignment para suas VMs, é possível garantir que o VM Manager esteja ativado por padrão em todos os novos projetos com a política da organização constraints/compute.requireOsConfig. A forma de aplicar constraints/compute.requireOsConfig depende da versão da API usada.

API Organization Policy v2

É possível aplicar a restrição constraints/compute.requireOsConfig em um recursoTrusted Cloud , como uma pasta ou uma organização, usando a CLI gcloud ou o console Trusted Cloud .

gcloud

Confirme se a restrição compute.requireOsConfig ainda não foi aplicada:
```
gcloud org-policies describe \
    constraints/compute.requireOsConfig \
    --organization=ORGANIZATION_ID
```
Substitua ORGANIZATION_ID pelo ID da organização.

Se uma política não for definida, esse comando vai retornar um erro NOT_FOUND:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Se a política existir, o comando vai retornar a política atual. A aplicação de uma nova política substitui a política atual, se houver uma.

Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

Execute o comando set-policy:

gcloud org-policies set-policy /tmp/policy.yaml

Confirme se a nova política foi aplicada:

gcloud org-policies describe \
    constraints/compute.requireOsConfig --effective \
    --organization=ORGANIZATION_ID

A saída deste comando é semelhante a:

name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

Console

No console Trusted Cloud , acesse a página Políticas da organização.

Acessar as políticas da organização
No seletor de projetos, selecione o projeto, a pasta ou a organização em que você quer editar as políticas da organização.
Na página Políticas da organização, use o filtro para pesquisar compute.requireOsConfig.
Clique no nome da política para abrir a página Detalhes da política.
Clique em Gerenciar política para atualizar a política da organização nesse recurso.
Na página Editar política, selecione Substituir a política do editor principal.
Selecione Adicionar uma regra.
Em Aplicação, mude a aplicação dessa política da organização para ativada.
Para aplicar a política, clique em Definir política.

API Resource Manager v1

Confirme se a restrição compute.requireOsConfig ainda não foi aplicada:
```
gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID
```
Substitua ORGANIZATION_ID pelo ID da organização.

Se uma política não for definida, esse comando vai retornar uma política incompleta, como no exemplo a seguir:
```
constraint: "constraints/compute.requireOsConfig"
etag: BwVJi0OOESU=
```
Se a política existir, o comando vai retornar a política atual. A aplicação de uma nova política substitui a política atual, se houver uma.

Defina a política a ser aplicada na organização:

gcloud resource-manager org-policies enable-enforce constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID

A saída deste comando é semelhante a:

booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig
etag: BwVJitxdiwY=

Confirme se a nova política foi aplicada:

gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --effective \
    --organization ORGANIZATION_ID

A saída deste comando é semelhante a:

booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig

As mudanças nas políticas da organização podem levar até 15 minutos para serem totalmente aplicadas.

Para mais informações sobre outras políticas que podem ser aplicadas ou como modificar ou excluir políticas, consulte a documentação do Resource Manager.

A seguir

Saiba mais sobre a geração de registros de auditoria do GKE.