Auf dieser Seite wird beschrieben, wie Sie OS Login aktivieren und eine Organisationsrichtlinie konfigurieren, um OS Login für private GKE Standard-Cluster und -Knoten zu erzwingen. OS Login ist für Cluster im GKE Autopilot-Modus nicht verfügbar, da GKE die Knoten verwaltet.
Informationen zum OS Login-Dienst finden Sie in der Compute Engine-Dokumentation zu OS Login.
Übersicht
Richten Sie eine OS Login-Einschränkung ein, um dafür zu sorgen, dass OS Login in Ihrer Organisation für alle neuen Projekte und VM-Instanzen aktiviert ist, die in diesen neuen Projekten erstellt werden. OS Login hat sich schnell zu einer Best Practice für die Sicherheit in Google Cloud entwickelt. Wir empfehlen Ihnen, die Verwendung mit einer Organisationsrichtlinie durchzusetzen.
In der folgenden Anleitung wird beschrieben, wie Sie OS Login mithilfe einer Organisationsrichtlinie in GKE aktivieren.
Hinweis
Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:
- Aktivieren Sie die Google Kubernetes Engine API. Google Kubernetes Engine API aktivieren
- Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit
gcloud components update
ab.
Vorhandene Projekte zur Verwendung von OS Login aktualisieren
Migrieren Sie vor dem Festlegen der Organisationsrichtlinie alle vorhandenen privaten Cluster, um OS Login zu verwenden.
Aktualisieren Sie die Version in allen Knotenpools eines Projekts auf eine unterstützte Version:
gcloud container clusters upgrade
CLUSTER_NAME \ --node-pool=NODE_POOL_NAME \ --cluster-versionVERSION Dabei gilt:
CLUSTER_NAME
ist der Name Ihres vorhandenen Clusters.NODE_POOL_NAME
ist der Name des Knotenpools.VERSION
ist eine mit OS Login kompatible Version ab Version 1.20.5.
Aktivieren Sie OS Login standardmäßig auf allen vorhandenen und neuen VM-Instanzen. Setzen Sie dazu das Flag
enable-oslogin
aufTRUE
. Sie müssen den Knoten nicht neu starten.gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
Organisationsrichtlinie für OS Login festlegen
So legen Sie die OS Login-Einschränkung auf Organisationsebene fest:
Rufen Sie Ihre Organisations-ID mit dem folgenden Befehl auf:
gcloud organizations list
Organisationsrichtlinie für OS Login festlegen. Ersetzen Sie
ORGANIZATION_ID
durch Ihre Organisations-ID.gcloud resource-manager org-policies enable-enforce \ compute.requireOsLogin \ --organization=
ORGANIZATION_ID
Nachdem die Organisationsrichtlinie festgelegt wurde, gelten die folgenden Bedingungen:
enable-oslogin
ist in den Projektmetadaten für alle neuen Projekte auftrue
eingestellt.- Aktualisierungsanfragen zum Festlegen von
enable-oslogin
auffalse
in Instanz- oder Projektmetadaten werden abgelehnt.
Knotenzugriff verwalten
Sobald Sie die Organisationsrichtlinie für OS Login aktiviert haben, müssen Sie keine SSH-Schlüssel für Autorisierungsentscheidungen mehr verwalten. OS Login verschiebt die Autorisierungsverwaltung in zu Identity and Access Management. Verwenden Sie OS Login, um den SSH-Zugriff auf Knoten zu verwalten. Weitere Informationen finden Sie unter OS Login einrichten.