Habilita y configura Acceso al SO en GKE


En esta página, se documenta cómo habilitar Acceso al SO y configurar una política de la organización para aplicar el Acceso al SO en los clústeres y nodos de GKE Standard privados. El Acceso al SO no está disponible para los clústeres del modo Autopilot de GKE porque GKE administra los nodos.

Para obtener información sobre el servicio Acceso al SO, consulta la documentación de Compute Engine sobre Acceso al SO.

Descripción general

Puedes configurar una restricción de Acceso al SO en la organización para asegurarte de que todos los proyectos nuevos y las instancias de VM creadas en ellos tengan habilitado Acceso al SO. Acceso al SO se convirtió rápidamente en una práctica recomendada de seguridad de Google Cloud, lo que recomienda que apliques su uso a través de una política de la organización.

En las siguientes instrucciones, se detalla cómo habilitar Acceso al SO mediante una política de la organización en GKE.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

  • Habilita la API de Kubernetes Engine de Google.
  • Habilitar la API de Kubernetes Engine de Google
  • Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta gcloud components update para obtener la versión más reciente.

Actualiza los proyectos existentes para que usen Acceso al SO

Antes de configurar la política de la organización, migra cualquier clúster privado existente para usar Acceso al SO.

  1. Actualiza la versión en todos los grupos de nodos de un proyecto a una versión compatible:

    gcloud container clusters upgrade CLUSTER_NAME \
        --node-pool=NODE_POOL_NAME \
        --cluster-version VERSION
    

    Reemplaza lo siguiente:

    • CLUSTER_NAME: Es el nombre del clúster existente.
    • NODE_POOL_NAME: el nombre del grupo de nodos
    • VERSION: Es una versión compatible con Acceso al SO, que puede ser la versión 1.20.5 o posterior.
  2. Habilita el Acceso al SO en todas las instancias de VM nuevas y existentes de forma predeterminada mediante la configuración de la marca enable-oslogin en TRUE. No es necesario reiniciar el nodo.

    gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
    

Configura la política de la organización de Acceso al SO

Para configurar la restricción de Acceso al SO a nivel de la organización, sigue estos pasos:

  1. Busca el ID de tu organización mediante la ejecución del comando siguiente:

    gcloud organizations list
    
  2. Configura la política de la organización de Acceso al SO. Reemplaza ORGANIZATION_ID por el ID de tu organización.

    gcloud resource-manager org-policies enable-enforce \
        compute.requireOsLogin \
        --organization=ORGANIZATION_ID
    

Una vez establecida la política de la organización, se aplican las siguientes condiciones:

  • enable-oslogin se configura como true en los metadatos del proyecto de todos los proyectos nuevos.
  • Se rechazan las solicitudes de actualización para establecer enable-oslogin en false en metadatos del proyecto o de la instancia.

Administra el acceso a los nodos

Una vez que habilitaste la política de la organización de Acceso al SO, ya no deberás administrar claves SSH para tomar decisiones de autorización. Acceso al SO mueve la administración de autorización a la Identity and Access Management. Para administrar el acceso SSH a los nodos, usa Acceso al SO. Para obtener más detalles, consulta Configura Acceso al SO.

¿Qué sigue?