Mengaktifkan dan mengonfigurasi Login OS di GKE

Standar

Halaman ini mendokumentasikan cara mengaktifkan Login OS dan mengonfigurasi kebijakan organisasi guna menerapkan Login OS untuk cluster dan node mode GKE Standard untuk pribadi. Login OS tidak tersedia untuk cluster mode GKE Autopilot karena GKE mengelola node.

Untuk mempelajari Layanan Login OS, baca dokumentasi Compute Engine tentang Login OS.

Ringkasan

Anda dapat menyiapkan batasan OS Login pada organisasi Anda untuk memastikan bahwa semua project baru, dan instance VM yang dibuat di project baru ini, telah mengaktifkan Login OS. Login OS dengan cepat menjadi praktik terbaik keamanan Google Cloud, yang merekomendasikan agar Anda menerapkan penggunaannya melalui kebijakan organisasi.

Petunjuk berikut menjelaskan cara mengaktifkan Login OS menggunakan kebijakan organisasi di GKE.

Sebelum memulai

Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:

Aktifkan Google Kubernetes Engine API.

Aktifkan Google Kubernetes Engine API

Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu initialize gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan gcloud components update.
Catatan: Untuk penginstalan gcloud CLI yang ada, pastikan untuk menyetel properti compute/region dan compute/zone. Dengan menyetel lokasi default, Anda dapat menghindari error di gcloud CLI yang seperti ini: One of [--zone, --region] must be supplied: Please specify location.

Mengupdate project yang ada untuk menggunakan Login OS

Sebelum menetapkan kebijakan organisasi, migrasikan cluster pribadi yang ada untuk menggunakan Login OS.

Update versi di semua kumpulan node dalam project ke versi yang didukung:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Ganti kode berikut:
- CLUSTER_NAME: nama cluster yang ada.
- NODE_POOL_NAME: nama kumpulan node.
- VERSION: Versi yang kompatibel dengan Login OS, yang dapat berupa versi 1.20.5 atau yang lebih baru.
Aktifkan Login OS pada semua instance VM yang ada dan yang baru secara default dengan menetapkan tanda enable-oslogin ke TRUE. Anda tidak perlu memulai ulang node.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Perhatian: Mengaktifkan Login OS pada instance akan menonaktifkan konfigurasi kunci SSH berbasis metadata pada instance tersebut. Menonaktifkan Login OS akan memulihkan kunci SSH yang telah Anda konfigurasi dalam metadata project atau instance.

Menetapkan kebijakan organisasi Login OS

Untuk menetapkan batasan Login OS di tingkat organisasi, lakukan tindakan berikut:

Temukan ID organisasi Anda dengan menjalankan perintah berikut:
```
gcloud organizations list
```

Menetapkan kebijakan organisasi Login OS. Ganti ORGANIZATION_ID dengan ID organisasi Anda.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Setelah kebijakan organisasi ditetapkan, kondisi berikut akan diterapkan:

enable-oslogin disetel ke true dalam metadata project untuk semua project baru.
Permintaan update untuk menetapkan enable-oslogin ke false dalam instance atau metadata project ditolak.

Mengelola akses node

Setelah mengaktifkan kebijakan organisasi Login OS, Anda tidak perlu lagi mengelola kunci SSH untuk membuat keputusan otorisasi. Login OS memindahkan pengelolaan otorisasi ke Identity and Access Management. Untuk mengelola akses SSH ke node, gunakan Login OS. Untuk mengetahui detail selengkapnya, lihat Menyiapkan Login OS.

Langkah selanjutnya

Pelajari layanan Login OS.
Pelajari cara memecahkan masalah Login OS.