En esta página, se documenta cómo habilitar Acceso al SO y configurar una política de la organización para aplicar el Acceso al SO en los clústeres y nodos de GKE Standard privados. El Acceso al SO no está disponible para los clústeres del modo Autopilot de GKE porque GKE administra los nodos.
Para obtener información sobre el servicio Acceso al SO, consulta la documentación de Compute Engine sobre Acceso al SO.
Descripción general
Puedes configurar una restricción de Acceso al SO en la organización para asegurarte de que todos los proyectos nuevos y las instancias de VM creadas en ellos tengan habilitado Acceso al SO. Acceso al SO se convirtió rápidamente en una práctica recomendada de seguridad de Google Cloud, lo que recomienda que apliques su uso a través de una política de la organización.
En las siguientes instrucciones, se detalla cómo habilitar Acceso al SO mediante una política de la organización en GKE.
Antes de comenzar
Antes de comenzar, asegúrate de haber realizado las siguientes tareas:
- Habilita la API de Kubernetes Engine de Google. Habilitar la API de Kubernetes Engine de Google
- Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta
gcloud components update
para obtener la versión más reciente.
Actualiza los proyectos existentes para que usen Acceso al SO
Antes de configurar la política de la organización, migra cualquier clúster privado existente para usar Acceso al SO.
Actualiza la versión en todos los grupos de nodos de un proyecto a una versión compatible:
gcloud container clusters upgrade
CLUSTER_NAME \ --node-pool=NODE_POOL_NAME \ --cluster-versionVERSION Reemplaza lo siguiente:
CLUSTER_NAME
: Es el nombre del clúster existente.NODE_POOL_NAME
: el nombre del grupo de nodosVERSION
: Es una versión compatible con Acceso al SO, que puede ser la versión 1.20.5 o posterior.
Habilita el Acceso al SO en todas las instancias de VM nuevas y existentes de forma predeterminada mediante la configuración de la marca
enable-oslogin
enTRUE
. No es necesario reiniciar el nodo.gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
Configura la política de la organización de Acceso al SO
Para configurar la restricción de Acceso al SO a nivel de la organización, sigue estos pasos:
Busca el ID de tu organización mediante la ejecución del comando siguiente:
gcloud organizations list
Configura la política de la organización de Acceso al SO. Reemplaza
ORGANIZATION_ID
por el ID de tu organización.gcloud resource-manager org-policies enable-enforce \ compute.requireOsLogin \ --organization=
ORGANIZATION_ID
Una vez establecida la política de la organización, se aplican las siguientes condiciones:
enable-oslogin
se configura comotrue
en los metadatos del proyecto de todos los proyectos nuevos.- Se rechazan las solicitudes de actualización para establecer
enable-oslogin
enfalse
en metadatos del proyecto o de la instancia.
Administra el acceso a los nodos
Una vez que habilitaste la política de la organización de Acceso al SO, ya no deberás administrar claves SSH para tomar decisiones de autorización. Acceso al SO mueve la administración de autorización a la Identity and Access Management. Para administrar el acceso SSH a los nodos, usa Acceso al SO. Para obtener más detalles, consulta Configura Acceso al SO.
¿Qué sigue?
- Obtén más información sobre el servicio Acceso al SO.
- Obtén información sobre cómo solucionar problemas de Acceso al SO.