Google Cloud 提供一系列功能来保护您的队列及其中运行的应用。本页面概述了队列安全功能,并提供指向更多信息的链接。
管理身份
Google Cloud 提供了下列以简单、一致且安全的方式向队列集群进行身份验证的选项,无论集群位于何处均可用。设置身份验证后,您可以使用 Kubernetes 基于角色的访问权限控制 (RBAC) 来配置更精细的集群访问权限控制。
向 Google Cloud 进行身份验证
默认情况下,Google Cloud 上的所有 GKE 集群都配置为接受 Google Cloud 用户和服务账号身份。如果您的舰队包含多个环境中的集群,则可以配置 Connect 网关,以便用户和服务账号还可以使用其 Google Cloud ID 向任何已注册的集群进行身份验证。
通过以下指南详细了解如何设置和使用 Google Cloud 身份验证:
向第三方提供方进行身份验证
如果您想使用现有的第三方身份提供方向舰队集群进行身份验证,则可以使用 GKE Identity Service,它是一项身份验证服务,可让您将现有身份解决方案部署到多个环境中。它支持所有 OpenID Connect (OIDC) 提供方(例如 Okta 和 Microsoft AD FS),并且在某些环境中为 LDAP 提供方提供预览版支持。 您可以逐个集群设置 GKE Identity Service,也可以通过单个配置为整个舰队进行配置(如果支持)。
如需详细了解如何设置和使用第三方身份验证(包括支持的环境和提供方),请参阅以下指南:
使用不记名令牌进行身份验证
如果上述 Google 提供的解决方案不适合您的组织,您可以使用 Kubernetes 服务账号及其不记名令牌来设置身份验证以登录。如需了解详情,请参阅使用不记名令牌设置。
管理舰队安全性
Google Cloud 提供了一系列功能和产品来提高舰队和工作负载的安全性,例如:
- Binary Authorization,确保仅在舰队集群上部署可信映像
- Kubernetes 网络政策,用于控制 Pod 之间的连接
- Anthos Service Mesh 的精细服务访问权限控制
- GKE 安全状况信息中心,用于监控集群的安全状况。
监控舰队安全状况
GKE 安全状况信息中心可帮助您评估舰队的 GKE 集群是否存在安全问题并进行管理,以及获取切实可行的建议来修复相关问题。功能包括:
- 配置审核:工作负载规范中的错误配置,例如特权过高的 Pod。
- 漏洞扫描:容器操作系统或语言软件包中的可利用漏洞。
- 使用 Policy Controller 进行合规性审核(仅适用于启用了 GKE Enterprise 的项目)
此信息中心会显示所选舰队中所有集群以及所选项目中任何独立 GKE 集群的已发现问题。
- 如需了解详情和完整的功能列表,请参阅安全状况信息中心简介。
- 如需了解价格信息,请参阅 GKE 安全状况信息中心价格。
在舰队级层配置安全状况信息中心功能
如果您已启用 GKE Enterprise,则可以在舰队级别管理一些安全信息中心功能,以便舰队中的所有集群都可以使用相同的默认设置来实现安全可观测性。
- 了解如何为舰队配置安全状况信息中心功能。
舰队安全资源
通过以下指南详细了解舰队安全功能:
- Binary Authorization
- Kubernetes 网络政策
- Anthos Service Mesh 中的应用安全性:
- 安全状况信息中心简介
监控集群是否符合行业标准
通过 GKE 合规性信息中心,您可以大致了解集群是否符合行业标准(例如 CIS GKE 基准和 Kubernetes Pod 安全标准)。该信息中心会自动执行合规性报告,提供发现的所有问题的详细列表以及切实可行的建议。
- 如需详细了解如何启用合规性审核,请参阅审核集群是否符合合规性标准。
- 如需详细了解合规性信息中心,请参阅 GKE 合规性信息中心简介。
管理集群政策
政策控制器支持为您的队列集群强制执行完全可编程的政策。这些政策可作为一种“保障措施”,可防止对 Kubernetes API 配置的任何更改违反安全性、运营或合规性控制措施。
如需详细了解您可以使用政策控制器执行的操作,请参阅政策控制器文档。