Tolok Ukur Ubuntu CIS

Dokumen ini menjelaskan tingkat kepatuhan yang dimiliki Google Distributed Cloud dengan CIS Ubuntu Benchmark.

Mengakses benchmark

Tolok Ukur Ubuntu CIS tersedia di situs CIS.

Profil konfigurasi

Dalam dokumen CIS Ubuntu Benchmark, Anda dapat membaca tentang profil konfigurasi. Image Ubuntu yang digunakan oleh Google Distributed Cloud di-harden untuk memenuhi profil Server - Level 2.

Evaluasi di Google Distributed Cloud

Kami menggunakan nilai berikut untuk menentukan status rekomendasi Ubuntu di Google Distributed Cloud.

Status Deskripsi
Lulus Mematuhi rekomendasi tolok ukur.
Gagal Tidak mematuhi rekomendasi tolok ukur.
Kontrol setara Tidak mematuhi persyaratan yang sama persis dengan rekomendasi tolok ukur, tetapi mekanisme lain di Google Distributed Cloud memberikan kontrol keamanan yang setara.
Bergantung pada lingkungan Google Distributed Cloud tidak mengonfigurasi item yang terkait dengan rekomendasi benchmark. Konfigurasi Anda menentukan apakah lingkungan Anda mematuhi rekomendasi.

Status Google Distributed Cloud

Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.

1,30

Versi

Bagian ini merujuk pada versi berikut:

Versi Google Distributed Cloud Versi Ubuntu Versi Tolok Ukur Ubuntu CIS Level CIS
1,30 22.04 LTS v1.0.0 Server Level 2

Status Google Distributed Cloud

Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.

# Rekomendasi Status Justifikasi Komponen yang Terpengaruh
1.1.2.1 Memastikan /tmp Berada di Partisi Terpisah Gagal Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.3.1 Memastikan /var Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.4.1 Memastikan /var/tmp Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.5.1 Memastikan /var/log Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.6.1 Memastikan /var/log/audit Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.7.1 Memastikan /home Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.4.1 Menetapkan Sandi Bootloader di grub2 Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
1.4.3 Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
2.3.6 Meng-uninstal Paket rpcbind Gagal rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal Semua node cluster Workstation admin, Seesaw
3.3.7 Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 Bergantung pada Lingkungan Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. Semua node cluster Seesaw
3.5.2.6 Menetapkan konfigurasi nftables untuk traffic loopback Tidak akan diperbaiki Jaringan Anthos terpengaruh oleh aturan ini. Semua node cluster, Workstation admin, Seesaw
3.5.2.8 Memastikan kebijakan firewall tolak default nftables Bergantung pada Lingkungan Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. Semua node cluster, Workstation admin, Seesaw
4.2.3 Memverifikasi izin file log Gagal Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. Semua node cluster, Workstation admin, Seesaw
5.2.18 Membatasi Akses SSH Pengguna Bergantung pada Lingkungan Ini tidak dikonfigurasi secara default. Semua node cluster, Workstation admin, Seesaw
5.3.4 Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo Bergantung pada Lingkungan Ini tidak dikonfigurasi secara default. Semua node cluster, Workstation admin, Seesaw
5.5.1.2 Menetapkan Usia Maksimum Sandi Kontrol setara VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi Semua node cluster
6.1.10 Memastikan Semua File Dimiliki oleh Pengguna Gagal Izin telah dibiarkan sebagai default. Semua node cluster

1,29

Versi

Bagian ini merujuk pada versi berikut:

Versi Google Distributed Cloud Versi Ubuntu Versi Tolok Ukur Ubuntu CIS Level CIS
1,29 22.04 LTS v1.0.0 Server Level 2

Status Google Distributed Cloud

Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.

# Rekomendasi Status Justifikasi Komponen yang Terpengaruh
1.1.2.1 Memastikan /tmp Berada di Partisi Terpisah Gagal Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.3.1 Memastikan /var Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.4.1 Memastikan /var/tmp Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.5.1 Memastikan /var/log Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.6.1 Memastikan /var/log/audit Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.7.1 Memastikan /home Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.4.1 Menetapkan Sandi Bootloader di grub2 Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
1.4.3 Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
2.3.6 Meng-uninstal Paket rpcbind Gagal rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal Semua node cluster Workstation admin, Seesaw
3.3.7 Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 Bergantung pada Lingkungan Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. Node non-admin-master Seesaw
3.5.2.6 Menetapkan konfigurasi nftables untuk traffic loopback Tidak akan diperbaiki Jaringan Anthos terpengaruh oleh aturan ini. Semua node cluster, Workstation admin, Seesaw
3.5.2.8 Memastikan kebijakan firewall tolak default nftables Bergantung pada Lingkungan Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. Semua node cluster, Workstation admin, Seesaw
4.2.3 Memverifikasi izin file log Gagal Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. Semua node cluster, Workstation admin, Seesaw
5.2.18 Membatasi Akses SSH Pengguna Bergantung pada Lingkungan Ini tidak dikonfigurasi secara default. Semua node cluster, Workstation admin, Seesaw
5.3.4 Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo Bergantung pada Lingkungan Ini tidak dikonfigurasi secara default. Semua node cluster, Workstation admin, Seesaw
5.5.1.2 Menetapkan Usia Maksimum Sandi Kontrol setara VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi Semua node cluster
6.1.10 Memastikan Semua File Dimiliki oleh Pengguna Gagal Izin telah dibiarkan sebagai default. Semua node cluster

1,28

Versi

Bagian ini merujuk pada versi berikut:

Versi Google Distributed Cloud Versi Ubuntu Versi Tolok Ukur Ubuntu CIS Level CIS
1,28 22.04 LTS v1.0.0 Server Level 2

Status Google Distributed Cloud

Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.

# Rekomendasi Status Justifikasi Komponen yang Terpengaruh
1.1.2.1 Memastikan /tmp Berada di Partisi Terpisah Gagal Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.3.1 Memastikan /var Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.4.1 Memastikan /var/tmp Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.5.1 Memastikan /var/log Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.6.1 Memastikan /var/log/audit Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.7.1 Memastikan /home Berada di Partisi Terpisah Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.4.1 Menetapkan Sandi Bootloader di grub2 Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
1.4.3 Memastikan Autentikasi Diperlukan untuk Mode Satu Pengguna Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
2.3.6 Meng-uninstal Paket rpcbind Gagal rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal Semua node cluster Workstation admin, Seesaw
3.3.7 Mengaktifkan Parameter Kernel untuk Menggunakan Pemfilteran Jalur Balik di semua Antarmuka IPv4 Bergantung pada Lingkungan Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster. Node non-admin-master Seesaw
3.5.2.6 Menetapkan konfigurasi nftables untuk traffic loopback Tidak akan diperbaiki Jaringan Anthos terpengaruh oleh aturan ini. Semua node cluster, Workstation admin, Seesaw
3.5.2.8 Memastikan kebijakan firewall tolak default nftables Bergantung pada Lingkungan Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. Semua node cluster, Workstation admin, Seesaw
4.2.3 Memverifikasi izin file log Gagal Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. Semua node cluster, Workstation admin, Seesaw
5.2.18 Membatasi Akses SSH Pengguna Bergantung pada Lingkungan Ini tidak dikonfigurasi secara default. Semua node cluster, Workstation admin, Seesaw
5.3.4 Memastikan Pengguna Melakukan Autentikasi Ulang untuk Eskalasi Hak Istimewa - sudo Bergantung pada Lingkungan Ini tidak dikonfigurasi secara default. Semua node cluster, Workstation admin, Seesaw
5.5.1.2 Menetapkan Usia Maksimum Sandi Kontrol setara VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi Semua node cluster
6.1.10 Memastikan Semua File Dimiliki oleh Pengguna Gagal Izin telah dibiarkan sebagai default. Semua node cluster

1.16

Versi

Bagian ini merujuk pada versi berikut:

Versi Google Distributed Cloud Versi Ubuntu Versi Tolok Ukur Ubuntu CIS Level CIS
1.16 20.04 LTS v1.0.0 Server Level 2

Status Google Distributed Cloud

Image Ubuntu yang digunakan dengan Google Distributed Cloud di-harden untuk memenuhi profil Server CIS Level 2. Tabel berikut memberikan justifikasi tentang alasan komponen Google Distributed Cloud tidak lulus rekomendasi tertentu.

# Rekomendasi Dinilai/Tidak Dinilai Status Justifikasi Komponen yang Terpengaruh
1.1.2 Pastikan /tmp dikonfigurasi Dinilai Gagal Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.10 Pastikan ada partisi terpisah untuk /var Dinilai Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.11 Pastikan partisi terpisah ada untuk /var/tmp Dinilai Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.15 Pastikan partisi terpisah ada untuk /var/log Dinilai Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.16 Memastikan partisi terpisah ada untuk /var/log/audit Dinilai Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.17 Memastikan partisi terpisah ada untuk /home Dinilai Tidak akan diperbaiki Canonical tidak berencana untuk mengubah partisi image cloud saat ini. Semua node cluster, Workstation admin, Seesaw
1.1.22 Memastikan sticky bit disetel di semua direktori yang dapat ditulis oleh semua orang Dinilai Gagal Hal ini dapat mengganggu fungsi Anthos dan layanannya serta tidak diaktifkan secara default Semua node cluster, Workstation admin
1.5.1 Memastikan izin pada konfigurasi bootloader dikonfigurasi Dinilai Gagal Izin telah dibiarkan sebagai default. Semua node cluster, Seesaw
1.5.2 Pastikan sandi bootloader telah ditetapkan Dinilai Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
1.5.3 Memastikan autentikasi diperlukan untuk mode satu pengguna Dinilai Bergantung pada Lingkungan Tidak ada sandi root yang ditetapkan pada image cloud Ubuntu. Semua node cluster, Workstation admin, Seesaw
2.3.6 Pastikan RPC tidak diinstal Dinilai Gagal rpcbind diinstal di image cloud Canonical, meskipun tidak diaktifkan secara default. Aturan gagal karena mengharuskannya tidak diinstal Semua node cluster
3.2.2 Pastikan penerusan IP dinonaktifkan Dinilai Gagal Penerusan IP diperlukan agar Kubernetes (GKE) berfungsi dengan benar dan merutekan traffic Semua node cluster, Workstation admin, Seesaw
3.2.7 Pastikan Pemfilteran Jalur Terbalik diaktifkan Dinilai Bergantung pada Lingkungan Rute asinkron dan asal jalur balik adalah persyaratan untuk memberikan load balancing cluster Seesaw
3.5.3.2.1 Memastikan kebijakan firewall tolak default Dinilai Bergantung pada Lingkungan Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. Semua node cluster, Workstation admin, Seesaw
3.5.3.2.2 Memastikan traffic loopback dikonfigurasi Dinilai Bergantung pada Lingkungan Penggunaan antarmuka loop-back terbatas karena fungsi load balancing yang digunakan. Seesaw
3.5.3.2.4 Memastikan aturan firewall ada untuk semua port yang terbuka Tidak Dinilai Bergantung pada Lingkungan Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. Semua node cluster, Workstation admin, Seesaw
3.5.3.3.1 Memastikan kebijakan firewall tolak default IPv6 Dinilai Bergantung pada Lingkungan Sebaiknya Google Distributed Cloud di-deploy di jaringan pribadi dengan perlindungan firewall yang sesuai. Aturan firewall yang diperlukan dapat ditemukan di sini. Selain itu, Anthos tidak memiliki persyaratan untuk IPv6 dalam dukungan GA. Semua node cluster, Workstation admin, Seesaw
3.5.3.3.2 Memastikan traffic loopback IPv6 dikonfigurasi Dinilai Bergantung pada Lingkungan Anthos tidak memiliki persyaratan untuk IPv6 dalam dukungan GA. Bidang kontrol admin, Seesaw
4.1.1.3 Memastikan audit untuk proses yang dimulai sebelum auditd diaktifkan Dinilai Gagal Masalah umum pada proses build kami menandainya sebagai Gagal, tetapi ini harus dianggap sebagai alarm palsu. Hal ini akan diperbaiki pada masa mendatang. Semua node cluster, Seesaw
4.1.11 Memastikan penggunaan perintah dengan hak istimewa dikumpulkan Dinilai Gagal Beberapa biner diinstal saat runtime, sehingga perbaikan runtime diperlukan. Semua node cluster, Workstation admin, Seesaw
4.2.1.5 Pastikan rsyslog dikonfigurasi untuk mengirim log ke host log jarak jauh Dinilai Bergantung pada Lingkungan Google Distributed Cloud saat ini mengumpulkan semua log journald (dari layanan sistem). Log ini dapat dilihat di bagian "k8s_node" Semua node cluster, Workstation admin, Seesaw
4.2.3 Memastikan izin di semua file log dikonfigurasi Dinilai Gagal Pengujian khusus ini terlalu membatasi dan tidak realistis karena banyak layanan mungkin memerlukan grup untuk menulis file log. Item ini dapat dihapus dalam benchmark mendatang. Semua node cluster, Workstation admin, Seesaw
4,4 Memastikan logrotate menetapkan izin yang sesuai Dinilai Gagal Mematuhi aturan ini dapat memengaruhi fungsi logging saat ini Semua node cluster, Seesaw
5.2.18 Pastikan akses SSH dibatasi Dinilai Bergantung pada Lingkungan Ini tidak dikonfigurasi secara default. Hal ini dapat dikonfigurasi untuk memenuhi persyaratan spesifik Anda. Semua node cluster, Workstation admin, Seesaw
5.2.20 Memastikan SSH AllowTcpForwarding dinonaktifkan Dinilai Gagal Mematuhi aturan ini dapat memengaruhi fungsi tunnel ssh saat ini Semua node cluster
5.4.1.1 Pastikan masa berlaku sandi adalah 365 hari atau kurang Dinilai Kontrol setara VM untuk Google Distributed Cloud mengandalkan kunci ssh untuk login pengguna, bukan menggunakan sandi Semua node cluster
6.1.10 Pastikan tidak ada file yang dapat ditulis oleh semua orang Dinilai Gagal Izin telah dibiarkan sebagai default. Semua node cluster
6.1.11 Memastikan tidak ada file atau direktori yang tidak dimiliki Dinilai Gagal Izin telah dibiarkan sebagai default. Semua node cluster
6.1.12 Memastikan tidak ada file atau direktori yang tidak dikelompokkan Dinilai Gagal Izin telah dibiarkan sebagai default. Semua node cluster
6.2.7 Memastikan file titik pengguna tidak dapat ditulis oleh grup atau publik Dinilai Gagal Setelan default untuk Ubuntu mengizinkan izin grup file titik karena kompatibilitas Workstation admin

Mengonfigurasi cron job AIDE

AIDE adalah alat pemeriksaan integritas file yang memastikan kepatuhan terhadap benchmark Server CIS L1 1.4 Filesystem Integrity Checking. Di Google Distributed Cloud, proses AIDE telah menyebabkan masalah penggunaan resource yang tinggi.

Proses AIDE di node dinonaktifkan secara default untuk mencegah masalah resource. Hal ini akan memengaruhi kepatuhan terhadap tolok ukur Server L1 CIS 1.4.2: Ensure filesystem integrity is regularly checked.

Jika Anda ingin ikut serta menjalankan tugas cron AIDE, selesaikan langkah-langkah berikut untuk mengaktifkan kembali AIDE:

  1. Buat DaemonSet.

    Berikut adalah manifes untuk DaemonSet:

    apiVersion: apps/v1
    kind: DaemonSet
    metadata:
    name: enable-aide-pool1
    spec:
    selector:
      matchLabels:
        app: enable-aide-pool1
    template:
      metadata:
        labels:
          app: enable-aide-pool1
      spec:
        hostIPC: true
        hostPID: true
        nodeSelector:
          cloud.google.com/gke-nodepool: pool-1
        containers:
        - name: update-audit-rule
          image: ubuntu
          command: ["chroot", "/host", "bash", "-c"]
          args:
          - |
            set -x
            while true; do
              # change daily cronjob schedule
              minute=30;hour=5
              sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab
    
              # enable aide
              chmod 755 /etc/cron.daily/aide
    
              sleep 3600
            done
          volumeMounts:
          - name: host
            mountPath: /host
          securityContext:
            privileged: true
        volumes:
        - name: host
          hostPath:
            path: /
    

    Dalam manifes di atas:

    • Tugas cron AIDE hanya akan berjalan di node pool pool-1 seperti yang ditentukan oleh nodeSelector cloud.google.com/gke-nodepool: pool-1. Anda dapat mengonfigurasi proses AIDE untuk berjalan di sebanyak mungkin node pool yang Anda inginkan dengan menentukan node pool di kolom nodeSelector. Untuk menjalankan jadwal tugas cron yang sama di berbagai node pool, hapus kolom nodeSelector. Namun, untuk menghindari kemacetan resource host, sebaiknya Anda mempertahankan jadwal terpisah.

    • Cron job dijadwalkan untuk berjalan setiap hari pukul 05.30 seperti yang ditentukan oleh minute=30;hour=5 konfigurasi. Anda dapat mengonfigurasi jadwal yang berbeda untuk tugas cron AIDE sesuai kebutuhan.

  2. Salin manifes ke file bernama enable-aide.yaml, lalu buat DaemonSet:

    kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
    

    dengan USER_CLUSTER_KUBECONFIG adalah jalur file kubeconfig untuk cluster pengguna Anda.