保護機群

Google Cloud 提供多種功能，可保護機群和在其中執行的應用程式。本頁面提供車隊安全功能總覽，並附上相關連結，方便您進一步瞭解。

管理身分

Google Cloud 提供下列選項，讓您以簡單、一致且安全的方式，驗證機群叢集，無論叢集位於何處。設定驗證後，您可以使用 Kubernetes 角色型存取控制 (RBAC)，為叢集設定更精細的存取控制。

透過 Google Cloud驗證

根據預設， Google Cloud 上的所有 GKE 叢集都已設定為接受 Google Cloud 使用者和服務帳戶的身分。如果車隊包含多個環境中的叢集，您可以設定 Connect 閘道，讓使用者和服務帳戶也能使用 Google Cloud ID 向任何已註冊的叢集進行驗證。

如要進一步瞭解如何設定及使用驗證，請參閱下列指南： Google Cloud

• 為 kubectl 設定叢集存取權
• 透過 Connect Gateway 連線至已註冊的叢集
• 設定 Connect Gateway
• 使用 Connect Gateway

使用第三方供應商進行驗證

如要使用現有的第三方識別資訊提供者驗證機群叢集，您可以透過 GKE Identity Service 這項驗證服務，在多個環境使用現有的身分識別解決方案。支援所有 OpenID Connect (OIDC) 提供者，例如 Okta 和 Microsoft AD FS，並在部分環境中提供 LDAP 提供者預先發布版支援。您可以逐一為叢集設定 GKE Identity Service，也可以在支援的情況下，為整個機群設定單一設定。

如要進一步瞭解如何設定及使用第三方驗證，包括支援的環境和供應商，請參閱下列指南：

• GKE Identity Service 簡介
• 使用 GKE Identity Service 存取叢集

使用不記名權杖進行驗證

如果上述 Google 提供的解決方案不適合貴機構，您可以設定 Kubernetes 服務帳戶驗證，並使用該帳戶的持有者權杖登入。詳情請參閱「使用不記名權杖設定」。

管理車隊安全

Google Cloud 提供一系列功能和產品，可提升機群和工作負載的安全性，例如：

• 二進位授權，確保只有受信任的映像檔會部署至叢集車隊
• Kubernetes 網路政策，可控管 Pod 之間的連線
• 精細控管 Cloud Service Mesh 的服務存取權
• GKE 安全防護機制資訊主頁，可監控叢集的安全防護機制。

監控機群安全防護機制

GKE 安全防護機制資訊主頁可協助您評估及管理機群的 GKE 叢集，找出安全性疑慮，並取得可行的建議來修正問題。功能包括設定稽核。

資訊主頁會顯示所選機群中所有叢集，以及所選專案中任何獨立 GKE 叢集所發現的問題。

• 如需詳細資料和完整功能清單，請參閱「安全防護機制資訊主頁簡介」。
• 如要查看定價資訊，請參閱 GKE 安全防護機制資訊主頁定價。

在機群層級設定安全防護機制資訊主頁功能

您可以在機群層級管理部分安全防護資訊主頁功能，讓機群中的所有叢集都能使用相同的安全防護可觀測性預設設定。

• 瞭解如何為機群設定安全狀態資訊主頁功能。

機群安全資源

如要進一步瞭解機群安全防護功能，請參閱下列指南：

• 二進位授權
• Kubernetes 網路政策
• Cloud Service Mesh 中的應用程式安全性：
  • 授權政策總覽
  • 設定傳輸安全性
  • 監控 Mesh 安全性
• 安全防護機制資訊主頁簡介

管理叢集政策

Policy Controller 可為機群叢集強制執行完全程式化的政策。這些政策是「防護機制」，用來防止 Kubernetes API 設定上的異動違反安全性、營運或法規遵循的控管。

如要進一步瞭解 Policy Controller 的用途，請參閱 Policy Controller 說明文件。