En esta página, se explica cómo habilitar Acceso al SO y configurar una política de la organización para aplicar el Acceso al SO en los clústeres y nodos de GKE Standard. Puedes usar el Acceso al SO para administrar el acceso SSH a tus instancias con la IAM sin tener que crear ni administrar claves SSH individuales.
El Acceso al SO no está disponible para los clústeres del modo Autopilot de GKE porque GKE administra los nodos.
Esta página está destinada a especialistas en seguridad que desean agregar políticas de Acceso al SO en clústeres de GKE estándar para garantizar que todas las instancias de VM tengan Acceso al SO de forma predeterminada. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Tareas y roles comunes de los usuarios de GKE Enterprise.
Antes de leer esta página, asegúrate de estar familiarizado con la descripción general de Acceso al SO.
Descripción general
Puedes configurar una restricción de Acceso al SO en la organización para asegurarte de que todos los proyectos nuevos y las instancias de VM creadas en ellos tengan habilitado Acceso al SO. Acceso al SO se convirtió rápidamente en una práctica recomendada de seguridad, lo que recomienda que apliques su uso a través de una política de la organización.Google Cloud
En las siguientes instrucciones, se detalla cómo habilitar Acceso al SO mediante una política de la organización en GKE.
Antes de comenzar
Antes de comenzar, asegúrate de haber realizado las siguientes tareas:
- Habilita la API de Google Kubernetes Engine. Habilitar la API de Google Kubernetes Engine
- Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta
gcloud components updatepara obtener la versión más reciente.
Actualiza los proyectos existentes para que usen Acceso al SO
Antes de configurar la política de la organización, migra cualquier clúster existente para usar Acceso al SO.
Actualiza la versión en todos los grupos de nodos de un proyecto a una versión compatible:
gcloud container clusters upgrade CLUSTER_NAME \ --node-pool=NODE_POOL_NAME \ --cluster-version VERSIONReemplaza lo siguiente:
CLUSTER_NAME: Es el nombre del clúster existente.NODE_POOL_NAME: el nombre del grupo de nodosVERSION: Es una versión compatible con Acceso al SO, que puede ser la versión 1.20.5 o posterior.
Habilita el Acceso al SO en todas las instancias de VM nuevas y existentes de forma predeterminada mediante la configuración de la marca
enable-osloginenTRUE. No es necesario reiniciar el nodo.gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
Configura la política de la organización de Acceso al SO
Para configurar la restricción de Acceso al SO a nivel de la organización, sigue estos pasos:
Busca el ID de tu organización mediante la ejecución del comando siguiente:
gcloud organizations listConfigura la política de la organización de Acceso al SO. Reemplaza
ORGANIZATION_IDpor el ID de tu organización.gcloud resource-manager org-policies enable-enforce \ compute.requireOsLogin \ --organization=ORGANIZATION_ID
Una vez establecida la política de la organización, se aplican las siguientes condiciones:
enable-osloginse configura comotrueen los metadatos del proyecto de todos los proyectos nuevos.- Se rechazan las solicitudes de actualización para establecer
enable-osloginenfalseen metadatos del proyecto o de la instancia.
Administra el acceso a los nodos
Una vez que habilitaste la política de la organización de Acceso al SO, ya no deberás administrar claves SSH para tomar decisiones de autorización. Acceso al SO mueve la administración de autorización a la Identity and Access Management. Para administrar el acceso SSH a los nodos, usa Acceso al SO. Para obtener más detalles, consulta Configura Acceso al SO.
¿Qué sigue?
- Obtén más información sobre el servicio Acceso al SO.
- Obtén información sobre cómo solucionar problemas de Acceso al SO.