Confidential GKE Nodes verwenden


Auf dieser Seite erfahren Sie, wie Sie die Funktion Confidential Google Kubernetes Engine Nodes verwenden. Confidential GKE Nodes bietet Verschlüsselung während der Nutzung für Ihre Arbeitslasten.

Übersicht

Confidential GKE Nodes basiert auf Compute Engine Confidential VM, die die Speicherinhalte der verwendeten VMs verschlüsselt. Bei Clustern, für die Confidential GKE Nodes aktiviert ist, wird die Verwendung von Confidential VM für alle Knoten erzwungen. Dies bedeutet, dass sowohl die Knoten als auch die darauf ausgeführten Arbeitslasten während der Nutzung verschlüsselt werden. Verwenden Sie Access Transparency, um Einblick in die Steuerungsebene zu erhalten.

Für die Bereitstellung von Confidential GKE Nodes entstehen keine zusätzlichen Kosten, außer den Kosten für Confidential VM von Compute Engine. Confidential GKE Nodes können jedoch beim Start etwas mehr Logdaten generieren als Standardknoten. Informationen zu Logpreisen finden Sie unter Preise für die Operations-Suite von Google Cloud.

Verfügbarkeit

Confidential GKE Nodes ist in folgenden Fällen verfügbar:

  • Confidential GKE Nodes ist in den Regular und Rapid Release Channels für die GKE-Versionen 1.18.6-gke.1600 und höher verfügbar.
  • Confidential GKE Nodes ist in Zonen und Regionen verfügbar, in denen N2D-Instanzen verfügbar sind.
  • Confidential GKE Nodes können mit Container-Optimized OS und containerd auf Container-Optimized OS (cos_containerd) verwendet werden.
  • Confidential GKE Nodes erzwingen die Verwendung von Confidential VMs in Ihren Knotenpools.
  • Confidential VM ist nur in N2D-Instanzen von Compute Engine verfügbar.

Hinweis

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Mit den folgenden Methoden können Sie die gcloud-Einstellungen festlegen:

  • Verwenden Sie gcloud init, wenn Sie die Standardeinstellungen ansehen möchten.
  • Verwenden Sie gcloud config, um Ihre Projekt-ID, Zone und Region individuell festzulegen.

gcloud init verwenden

Wenn Sie die Fehlermeldung One of [--zone, --region] must be supplied: Please specify location erhalten, führen Sie diesen Abschnitt aus.

  1. Führen Sie gcloud init aus und folgen Sie der Anleitung:

    gcloud init

    Wenn Sie SSH auf einem Remote-Server verwenden, können Sie mit dem Flag --console-only verhindern, dass mit dem Befehl ein Browserfenster geöffnet wird:

    gcloud init --console-only
  2. Folgen Sie der Anleitung, um gcloud zur Verwendung Ihres Google Cloud-Kontos zu autorisieren.
  3. Erstellen Sie eine neue Konfiguration oder wählen Sie eine vorhandene aus.
  4. Wählen Sie ein Google Cloud-Projekt aus.
  5. Wählen Sie eine Compute Engine-Standardzone für zonale Cluster oder eine Region für regionale oder Autopilot-Cluster aus.

gcloud config verwenden

  • Legen Sie Ihre standardmäßige Projekt-ID fest:
    gcloud config set project PROJECT_ID
  • Wenn Sie mit zonalen Clustern arbeiten, legen Sie die Standardzone für Compute Engine fest:
    gcloud config set compute/zone COMPUTE_ZONE
  • Wenn Sie mit Autopilot oder regionalen Clustern arbeiten, legen Sie die Compute-Standardregion fest:
    gcloud config set compute/region COMPUTE_REGION
  • Aktualisieren Sie gcloud auf die neueste Version:
    gcloud components update

Confidential GKE Nodes in einem neuen Cluster aktivieren

Sie können einen neuen Cluster erstellen, bei dem Confidential GKE Nodes aktiviert ist. Verwenden Sie dazu das gcloud-Tool oder die Google Cloud Console.

gcloud

Geben Sie beim Erstellen eines neuen Clusters die Option --enable-confidential-nodes im gcloud-Befehlszeilentool an:

gcloud beta container clusters create CLUSTER_NAME \
  --release-channel=RELEASE_CHANNEL \
  --machine-type N2D_MACHINE_TYPE \
  --enable-confidential-nodes

Dabei gilt:

  • CLUSTER_NAME: Der Name des neuen Clusters.

  • RELEASE_CHANNEL: Die Release-Version muss entweder regular oder rapid sein.

  • N2D_MACHINE_TYPE: Der Maschinentyp für den Standardknotenpool des Clusters, der ein N2D-Maschinentyp sein muss.

Console

  1. Rufen Sie in der Cloud Console die Seite Google Kubernetes Engine auf.

    Zur Seite "Google Kubernetes Engine"

  2. Klicken Sie auf Erstellen.

  3. Klicken Sie unter Standard auf Konfigurieren.

  4. Klicken Sie im Navigationsbereich unter Cluster auf Sicherheit.

  5. Klicken Sie auf das Kästchen Confidential GKE Nodes aktivieren.

  6. Konfigurieren Sie den Cluster wie gewünscht.

  7. Klicken Sie auf Erstellen.

Weitere Informationen zum Erstellen von Clustern finden Sie unter Cluster erstellen.

Nachdem Sie einen Cluster mit Confidential GKE Nodes erstellt haben, können alle in diesem Cluster erstellten Knotenpools nur Confidential Nodes sein.

Aktivierung von Confidential GKE Nodes prüfen

Mit dem gcloud-Befehlszeilentool oder der Google Cloud Console können Sie prüfen, ob Ihr Cluster Confidential GKE Nodes verwendet.

gcloud

Cluster beschreiben:

gcloud beta container clusters describe CLUSTER_NAME

Wenn Confidential GKE Nodes aktiviert sind, enthält die Ausgabe des Befehls folgende Zeilen:

confidentialNodes:
  enabled: true

Console

  1. Rufen Sie in der Cloud Console das GKE-Menü auf.

    Zum GKE-Menü

  2. Klicken Sie auf den Namen des Clusters, den Sie prüfen möchten.

  3. Überprüfen Sie unter Sicherheit, ob im Feld Confidential GKE Nodes die Option Confidential GKE Nodes aktiviert ist.

Zum Prüfen der Vertraulichkeit Ihrer Knoten können Sie in den Compute Engine-Logs die Startattestierungsereignisse für einzelne Knoten einsehen. Weitere Informationen finden Sie unter Confidential VM mit Cloud Monitoring prüfen.

Anwendungen auf Confidential GKE Nodes ausführen

Der Ansatz von Google in Bezug auf Confidential Computing besteht darin, einen problemlosen Lift-and-Shift für vorhandene Anwendungen zu ermöglichen. GKE-Arbeitslasten, die Sie heute ausführen, können auf Confidential GKE Nodes ohne Codeänderungen ausgeführt werden.

Wenn Sie deklarieren möchten, dass Ihre Arbeitslasten nur auf Clustern mit Confidential GKE Nodes ausgeführt werden sollen, können Sie auch den Knotenselektor cloud.google.com/gke-confidential-nodes verwenden. Im folgenden Beispiel einer Pod-Spezifikation wird dieser Selektor verwendet:

apiVersion: v1
kind: Pod
spec:
  containers:
  - name: my-confidential-app
    image: gcr.io/myproject/my-confidential-app
    nodeSelector: cloud.google.com/gke-confidential-nodes:true

Beschränkungen

Beachten Sie die folgenden Einschränkungen, bevor Sie Confidential GKE Nodes in einem neuen Cluster aktivieren:

  • Sie können keine Confidential GKE Nodes in vorhandenen Clustern aktivieren.
  • Sie können Confidential GKE Nodes nicht deaktivieren, nachdem sie in einem Cluster aktiviert wurden.
  • Confidential GKE Nodes ist nicht mit GPUs kompatibel.
  • Confidential GKE Nodes ist nicht mit Knoten für einzelne Mandanten kompatibel.
  • Derzeit können Sie keine lokalen SSDs oder nichtflüchtigen Speicher hinzufügen, wenn Confidential GKE Nodes aktiviert ist.
  • Nur Container-Optimized OS-Knoten werden unterstützt. Ubuntu- und Windows-Knoten werden nicht unterstützt.
  • Confidential VM für Knoten der Steuerungsebene (Master) wird nicht unterstützt.

Nächste Schritte