Questa pagina mostra come utilizzare la funzionalità nodi GKE schermati. I nodi GKE schermati forniscono un'identità e un'integrità del nodo solide e verificabili per aumentare la sicurezza dei nodi Google Kubernetes Engine (GKE).
Per i cluster GKE Autopilot, la funzionalità Shielded GKE Nodes è abilitata per impostazione predefinita e non può essere sostituita. Per i cluster GKE Standard, la funzionalità Shielded GKE Nodes è abilitata per impostazione predefinita, ma può essere sostituita.
Informazioni su Shielded GKE Nodes
I nodi Shielded GKE sono basati sulle Shielded VM di Compute Engine. Senza Shielded GKE Nodes, un malintenzionato può sfruttare una vulnerabilità in un pod per esfiltrare le credenziali di bootstrap e impersonare i nodi nel tuo cluster, consentendo agli utenti malintenzionati di accedere ai secret del cluster. Quando Shielded GKE Nodes è abilitato, il control plane GKE verifica in modo crittografico che:
- Ogni nodo del cluster è una macchina virtuale in esecuzione nel data center di Google.
- Ogni nodo fa parte del gruppo di istanze gestite (MIG) di cui è stato eseguito il provisioning per il cluster.
- Al kubelet viene fornito un certificato per il nodo su cui è in esecuzione.
Ciò limita la capacità di un utente malintenzionato di simulare l'identità di un nodo nel cluster anche se è in grado di esfiltrare le credenziali di bootstrap del nodo.
I nodi del control plane del cluster GKE utilizzano sempre Shielded GKE Nodes, anche se disattivi la funzionalità sul cluster. L'attivazione o la disattivazione dei nodi GKE Shielded influisce solo sull'utilizzo della funzionalità da parte dei nodi di lavoro che eseguono i tuoi carichi di lavoro.
Prezzi
Non sono previsti costi aggiuntivi per l'esecuzione di nodi GKE Shielded. Tuttavia, Shielded GKE Nodes genera circa 0,5 KB di log in più all'avvio rispetto ai nodi standard. Per maggiori dettagli, consulta la pagina dei prezzi di Cloud Logging.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:
- Attiva l'API Google Kubernetes Engine. Attiva l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività,
installala e poi
inizializzala. Se hai già installato gcloud CLI, scarica l'ultima versione eseguendo
gcloud components update.
Abilitazione di Shielded GKE Nodes in un nuovo cluster
Puoi creare un nuovo cluster con i nodi GKE Shielded abilitati utilizzando gcloud CLI o la console Trusted Cloud .
gcloud
Quando crei un nuovo cluster, specifica l'opzione --enable-shielded-nodes:
gcloud container clusters create CLUSTER_NAME \
--enable-shielded-nodes
Console
Vai alla pagina Google Kubernetes Engine nella console Trusted Cloud .
Fai clic su add_box Crea.
Nel riquadro di navigazione, in Cluster, fai clic su Sicurezza.
Seleziona la casella di controllo Abilita Shielded GKE Nodes.
Configura il cluster come preferisci.
Fai clic su Crea.
Per ulteriori dettagli sulla creazione di cluster, consulta Creazione di un cluster.
Abilitazione di Shielded GKE Nodes in un cluster esistente
Puoi abilitare i nodi GKE schermati in un cluster esistente utilizzando Google Cloud CLI o la console Trusted Cloud .
Come GKE abilita Shielded GKE Nodes
Dopo aver abilitato Shielded GKE Nodes, i nodi di lavoro vengono ricreati come Shielded VM. I nodi del cluster vengono ricreati in modo sequenziale per ridurre al minimo i tempi di inattività.
Dopo aver abilitato Shielded GKE Nodes, GKE aggiorna il cluster con i seguenti passaggi:
- GKE ricrea immediatamente il control plane, ignorando la disponibilità della manutenzione.
- GKE ricrea i nodi worker come VM schermate, rispettando la disponibilità della manutenzione. GKE utilizza gli upgrade inattesi per aggiornare ciascun pool di nodi. Dipende dalla disponibilità delle risorse. La disabilitazione degli upgrade automatici dei nodi non impedisce questa modifica.
Per informazioni dettagliate su questa modifica specifica, individua la riga corrispondente nella tabella Modifiche manuali che ricreano i nodi utilizzando una strategia di upgrade dei nodi e rispettando le norme di manutenzione. Per saperne di più sugli aggiornamenti dei nodi, consulta Pianificare le interruzioni dell'aggiornamento dei nodi.
Abilita Shielded GKE Nodes
gcloud
Quando aggiorni il cluster, specifica l'opzione --enable-shielded-nodes:
gcloud container clusters update CLUSTER_NAME \
--enable-shielded-nodes
Console
Vai alla pagina Google Kubernetes Engine nella console Trusted Cloud .
Fai clic sul nome del cluster da modificare.
In Sicurezza, nel campo Nodi GKE schermati, fai clic su edit Modifica nodi GKE schermati.
Seleziona la casella di controllo Abilita Shielded GKE Nodes.
Fai clic su Salva modifiche.
Verifica che Shielded GKE Nodes sia abilitato
Verifica che il cluster utilizzi nodi GKE protetti con Google Cloud CLI o la Trusted Cloud console.
gcloud
Descrivi il cluster:
gcloud container clusters describe CLUSTER_NAME
Se Shielded GKE Nodes è abilitato, l'output del comando includerà queste righe:
shieldedNodes:
enabled: true
Console
Per verificare che un cluster utilizzi i nodi GKE schermati:
Vai alla pagina Google Kubernetes Engine nella console Trusted Cloud .
Fai clic sul nome del cluster che vuoi esaminare.
In Sicurezza, nel campo Nodi GKE schermati, verifica che i nodi GKE schermati siano abilitati.
Puoi anche monitorare l'integrità delle VM schermate sottostanti dei nodi. Per la procedura, consulta Monitoraggio dell'integrità su Shielded VM schermate.
Disabilitazione di Shielded GKE Nodes
Puoi disattivare i nodi GKE Shielded con Google Cloud CLI o la console Trusted Cloud .
Come GKE disabilita Shielded GKE Nodes
Dopo aver disabilitato Shielded GKE Nodes, GKE aggiorna il cluster con i seguenti passaggi:
- GKE ricrea immediatamente il control plane, ignorando la disponibilità della manutenzione.
- GKE ricrea i nodi worker come VM non protette, rispettando la disponibilità della manutenzione. GKE utilizza gli upgrade inattesi per aggiornare ciascun pool di nodi. Dipende dalla disponibilità delle risorse. La disabilitazione degli upgrade automatici dei nodi non impedisce questa modifica.
Per informazioni dettagliate su questa modifica specifica, individua la riga corrispondente nella tabella Modifiche manuali che ricreano i nodi utilizzando una strategia di upgrade dei nodi e rispettando le norme di manutenzione. Per saperne di più sugli aggiornamenti dei nodi, consulta Pianificare le interruzioni dell'aggiornamento dei nodi.
Disabilita Shielded GKE Nodes
gcloud
Quando aggiorni il cluster, specifica l'opzione --no-enable-shielded-nodes:
gcloud container clusters update CLUSTER_NAME \
--no-enable-shielded-nodes
Console
Vai alla pagina Google Kubernetes Engine nella console Trusted Cloud .
Fai clic sul nome del cluster da modificare.
In Sicurezza, nel campo Nodi GKE schermati, fai clic su edit Modifica nodi GKE schermati.
Deseleziona la casella di controllo Abilita Shielded GKE Nodes.
Fai clic su Salva modifiche.
Integrità del nodo
Se vuoi, puoi configurare i controlli di integrità dei nodi sui pool di nodi per fornire una protezione avanzata da rootkit e bootkit per i tuoi nodi. Shielded GKE Nodes, Avvio protetto e Monitoraggio dell'integrità sono funzionalità indipendenti che possono essere attivate o disattivate singolarmente.
Avvio protetto
L'avvio protetto è un'impostazione del pool di nodi che autentica i componenti di avvio delle VM dei nodi, come il kernel e il bootloader, durante il processo di avvio. L'avvio protetto è disattivato per impostazione predefinita nei node pool.
Prima di attivare l'avvio protetto nei pool di nodi, tieni presente quanto segue:
- L'abilitazione dell'avvio protetto nei nodi Ubuntu impedisce il caricamento dei moduli del kernel di terze parti non firmati in questi nodi.
- L'attivazione dell'avvio protetto nei nodi Container-Optimized OS non ha alcun effetto sul caricamento dei moduli del kernel perché le immagini dei nodi Container-Optimized OS controllano la possibilità di caricare moduli del kernel di terze parti separatamente dall'avvio protetto.
Per abilitare l'avvio protetto, utilizza Google Cloud CLI o la console Trusted Cloud .
gcloud
Per abilitare l'avvio protetto durante la creazione di un cluster:
gcloud container clusters create CLUSTER_NAME \
--shielded-secure-boot
Per abilitare l'avvio protetto durante la creazione di un pool di nodi:
gcloud container node-pools create POOL_NAME \
--shielded-secure-boot
L'avvio protetto è disattivato per impostazione predefinita. Puoi disattivarlo esplicitamente quando crei un cluster o un pool di nodi con l'opzione --no-shielded-secure-boot.
Console
Per abilitare l'avvio protetto durante la creazione di un pool di nodi:
Vai alla pagina Google Kubernetes Engine nella console Trusted Cloud .
Fai clic sul nome del cluster da modificare.
Fai clic su add_box Aggiungi pool di nodi.
Nel menu di navigazione, fai clic su Sicurezza.
Nella sezione Opzioni per nodi schermati, seleziona la casella di controllo Abilita l'avvio protetto.
Fai clic su Crea.
Monitoraggio dell'integrità
Il monitoraggio dell'integrità è un'impostazione del pool di nodi abilitata per impostazione predefinita su GKE. Puoi disattivare il monitoraggio dell'integrità con Google Cloud CLI o la console Trusted Cloud .
gcloud
Per disattivare il monitoraggio dell'integrità per i componenti di sistema durante la creazione di un pool di nodi:
gcloud container node-pools create POOL_NAME \
--no-shielded-integrity-monitoring
Il monitoraggio dell'integrità è abilitato per impostazione predefinita. Puoi abilitarlo esplicitamente quando
crei un pool di nodi con l'opzione --shielded-integrity-monitoring.
Console
Per disattivare il monitoraggio dell'integrità durante la creazione di un pool di nodi:
Vai alla pagina Google Kubernetes Engine nella console Trusted Cloud .
Fai clic sul nome del cluster da modificare.
Fai clic su add_box Aggiungi pool di nodi.
Nel riquadro di navigazione, fai clic su Sicurezza.
In Opzioni per nodi schermati, deseleziona la casella di controllo Abilita il monitoraggio dell'integrità.