OS Login in GKE aktivieren und konfigurieren

Standard

Auf dieser Seite wird beschrieben, wie Sie OS Login aktivieren und eine Organisationsrichtlinie konfigurieren, um OS Login für private GKE Standard-Cluster und -Knoten zu erzwingen. OS Login ist für Cluster im GKE Autopilot-Modus nicht verfügbar, da GKE die Knoten verwaltet.

Informationen zum OS Login-Dienst finden Sie in der Compute Engine-Dokumentation zu OS Login.

Überblick

Richten Sie eine OS Login-Einschränkung ein, um dafür zu sorgen, dass OS Login in Ihrer Organisation für alle neuen Projekte und VM-Instanzen aktiviert ist, die in diesen neuen Projekten erstellt werden. OS Login hat sich schnell zu einer Best Practice für die Sicherheit in Google Cloud entwickelt. Wir empfehlen Ihnen, die Verwendung mit einer Organisationsrichtlinie durchzusetzen.

In der folgenden Anleitung wird beschrieben, wie Sie OS Login mithilfe einer Organisationsrichtlinie in GKE aktivieren.

Hinweis

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Aktivieren Sie die Google Kubernetes Engine API.

Google Kubernetes Engine API aktivieren

Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit gcloud components update ab.
Hinweis: Legen Sie für vorhandene Installationen der gcloud CLI die compute/region- und compute/zone-Attribute fest. Durch das Festlegen von Standardspeicherorten können Sie in der gcloud CLI Fehler wie One of [--zone, --region] must be supplied: Please specify location vermeiden.

Vorhandene Projekte zur Verwendung von OS Login aktualisieren

Migrieren Sie vor dem Festlegen der Organisationsrichtlinie alle vorhandenen privaten Cluster, um OS Login zu verwenden.

Aktualisieren Sie die Version in allen Knotenpools eines Projekts auf eine unterstützte Version:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Dabei gilt:
- CLUSTER_NAME ist der Name Ihres vorhandenen Clusters.
- NODE_POOL_NAME ist der Name des Knotenpools.
- VERSION ist eine mit OS Login kompatible Version ab Version 1.20.5.
Aktivieren Sie OS Login standardmäßig auf allen vorhandenen und neuen VM-Instanzen. Setzen Sie dazu das Flag enable-oslogin auf TRUE. Sie müssen den Knoten nicht neu starten.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Achtung: Bei Aktivierung von OS Login werden metadatenbasierte SSH-Schlüsselkonfigurationen für die betreffenden Instanzen deaktiviert. Bei Deaktivierung von OS Login werden die SSH-Schlüssel wiederhergestellt, die Sie in Projekt- oder Instanzmetadaten konfiguriert haben.

Organisationsrichtlinie für OS Login festlegen

So legen Sie die OS Login-Einschränkung auf Organisationsebene fest:

Rufen Sie Ihre Organisations-ID mit dem folgenden Befehl auf:
```
gcloud organizations list
```

Organisationsrichtlinie für OS Login festlegen. Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Nachdem die Organisationsrichtlinie festgelegt wurde, gelten die folgenden Bedingungen:

enable-oslogin ist in den Projektmetadaten für alle neuen Projekte auf true eingestellt.
Aktualisierungsanfragen zum Festlegen von enable-oslogin auf false in Instanz- oder Projektmetadaten werden abgelehnt.

Knotenzugriff verwalten

Sobald Sie die Organisationsrichtlinie für OS Login aktiviert haben, müssen Sie keine SSH-Schlüssel für Autorisierungsentscheidungen mehr verwalten. OS Login verschiebt die Autorisierungsverwaltung in zu Identity and Access Management. Verwenden Sie OS Login, um den SSH-Zugriff auf Knoten zu verwalten. Weitere Informationen finden Sie unter OS Login einrichten.