安全概览

本页面介绍了如何为 Google Distributed Cloud 建立良好的安全实践。本页面上的指导并非旨在全面列出最佳做法。

在 Google Distributed Cloud 上采用良好的安全实践涉及应用 Kubernetes 和 Google Kubernetes Engine (GKE) 的概念以及 Google Distributed Cloud 独有的概念。

Kubernetes 安全

我们建议您在使用 Google Distributed Cloud 时遵循常规的 Kubernetes 安全准则。

如需了解 Kubernetes 安全准则,请参阅 Kubernetes 文档中的安全核对清单云原生安全概览

GKE 安全

Google Distributed Cloud 扩展了 GKE,可让您在自己的本地 Linux 服务器上创建 GKE 集群。如需详细了解 GKE 安全,请参阅 GKE 安全概览。在阅读本文时,请注意,由于您的控制平面和节点在本地运行,因此针对控制平面安全节点安全不适用。

Google Distributed Cloud 安全

以下部分提供了为 Google Distributed Cloud 建立良好的安全实践的指导。

硬件安全

  • 借助业界标准的物理安全和安全功能,保护本地数据中心的安全。

  • 确保对管理员工作站的访问受到严格限制。管理员工作站存储敏感数据,例如 kubeconfig 文件、SSH 密钥和服务账号密钥。

节点安全

  • 通过更新软件包和安装安全补丁,使您的操作系统保持最新。

  • 为了更好地控制工作负载映像拉取和相关的安全优势,您可以配置工作器节点以向私有注册表进行身份验证。1.29 版集群的节点私有注册表支持目前处于预览版阶段。

  • 默认情况下,Google Distributed Cloud 会将 Docker apt 仓库和所需的 GPG 密钥添加到您的集群节点。作为向部署中的每个集群节点添加软件包仓库的替代方法,您可以将集群配置为使用私有软件包仓库来存储容器映像。

集群安全

  • 加固 Google Distributed Cloud 集群的安全性

  • 使用管理员和用户集群部署隔离流量和数据。 此部署类型可帮助您实现以下类型的隔离:

    • 工作负载流量与管理平面流量隔离。
    • 集群访问权限按群组或角色隔离。
    • 生产工作负载与开发工作负载隔离。

  • 将集群升级受支持的版本。 使用受支持的版本具有以下安全优势:

    • 修复安全漏洞。
    • 获得利用最新的安全状况和技术的新特性和功能。
    • 更新捆绑软件和组件。

  • 为了减少外部曝光和其他安全优势,您可以配置注册表镜像以从公共注册表的本地副本安装 Google Distributed Cloud 组件。

工作负载安全

网络安全

身份验证安全

  • 使用 GKE Identity Service 管理身份。GKE Identity Service 是一项身份验证服务,可让您将用于身份验证的现有身份解决方案部署到多个 Google Kubernetes Engine (GKE) Enterprise 版本环境。您可以使用现有的身份提供方,通过命令行(所有提供方)或 Google Cloud 控制台(仅限 OIDC)登录和使用 Google Distributed Cloud 集群。

  • 使用 Connect 网关连接到已注册的集群。Connect 网关以舰队为基础,让 GKE Enterprise 用户能够以一致且安全的方式连接到已注册的集群并对这些集群运行命令。

凭据安全

  • 轮替证书授权机构。 Google Distributed Cloud 使用证书和私钥来对集群中的系统组件之间的连接进行身份验证和加密。为了维护安全的集群通信,请定期轮替用户集群证书授权机构,并在可能出现安全漏洞时轮替。

  • 轮替服务账号密钥。为降低泄露的密钥造成的安全风险,我们建议您定期轮替服务密钥。

监控您的安全状况

  • 使用 Kubernetes 审核日志记录。 通过审核日志记录,管理员可以针对 Google Distributed Cloud 环境中发生的事件进行保留、查询、处理和提醒。

如需详细了解如何监控集群安全,请参阅监控舰队安全状况