Activer et configurer OS Login dans GKE

Standard

Cette page explique comment activer OS Login et configurer une règle d'administration afin d'appliquer OS Login pour les clusters et les nœuds privés du mode GKE Standard. OS Login n'est pas disponible pour les clusters GKE en mode Autopilot, car GKE gère les nœuds.

Pour en savoir plus sur le service OS Login, consultez la documentation Compute Engine sur OS Login.

Présentation

Vous pouvez configurer une contrainte OS Login au sein de votre organisation afin que tous les nouveaux projets et les instances de VM créées dans ces nouveaux projets soient activés. OS Login est rapidement devenue une bonne pratique de sécurité Google Cloud. Nous vous recommandons son utilisation via des règles d'administration.

Les instructions suivantes expliquent comment activer OS Login à l'aide de règles d'administration dans GKE.

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

Activez l'API Google Kubernetes Engine.

Activer l'API Google Kubernetes Engine

Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.
Remarque : Pour les installations de gcloud CLI existantes, veillez à définir les propriétés compute/region et compute/zone. En définissant des emplacements par défaut, vous pouvez éviter les erreurs gcloud CLI telles que celle-ci : One of [--zone, --region] must be supplied: Please specify location.

Mettre à jour des projets existants pour utiliser OS Login

Avant de définir les règles d'administration, migrez tous les clusters privés existants pour qu'ils utilisent OS Login.

Mettez à jour la version de tous les pools de nœuds d'un projet vers une version compatible :
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Remplacez l'élément suivant :
- CLUSTER_NAME : nom de votre cluster existant
- NODE_POOL_NAME : nom du pool de nœuds
- VERSION : version compatible avec OS Login, 1.20.5 ou ultérieure
Activez OS Login sur toutes les instances de VM existantes et nouvelles en définissant par défaut l'option enable-oslogin sur TRUE. Vous n'avez pas besoin de redémarrer le nœud.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Attention : L'activation d'OS Login sur les instances désactive les configurations de clés SSH basées sur les métadonnées dans ces instances. La désactivation de la connexion au système d'exploitation restaure les clés SSH que vous avez configurées dans les métadonnées du projet ou de l'instance.

Définir les règles d'administration d'OS Login

Pour définir la contrainte OS Login au niveau de l'organisation, procédez comme suit :

Pour rechercher l'ID de votre organisation, exécutez la commande suivante :
```
gcloud organizations list
```

Définissez les règles d'administration d'OS Login. Remplacez ORGANIZATION_ID par votre ID d'organisation.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Une fois les règles d'administration définies, les conditions suivantes sont appliquées :

enable-oslogin est défini sur true dans les métadonnées du projet pour tous les nouveaux projets.
Les demandes de mise à jour pour définir enable-oslogin sur false dans les métadonnées d'instance ou de projet sont rejetées.

Gérer l'accès aux nœuds

Une fois que vous avez activé la règle d'administration d'OS Login, vous n'avez plus besoin de gérer les clés SSH pour prendre des décisions d'autorisation. OS Login déplace la gestion des autorisations vers Identity and Access Management. Pour gérer l'accès SSH aux nœuds, utilisez OS Login. Pour en savoir plus, consultez la page Configurer OS Login.

Étape suivante

Découvrez le service OS Login.
Découvrez comment résoudre les problèmes liés à OS Login.