Questa pagina spiega come attivare OS Login e configurare un criterio dell'organizzazione per applicare OS Login ai cluster e ai nodi in modalità GKE Standard. Puoi utilizzare OS Login per gestire l'accesso SSH alle tue istanze utilizzando IAM senza dover creare e gestire singole chiavi SSH.
L'accesso al sistema operativo non è disponibile per i cluster GKE in modalità Autopilot perché GKE gestisce i nodi.
Questa pagina è rivolta agli specialisti della sicurezza che vogliono aggiungere criteri di accesso al sistema operativo ai cluster GKE Standard per garantire che tutte le istanze VM abbiano l'accesso al sistema operativo per impostazione predefinita. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività comuni degli utenti di GKE Enterprise.
Prima di leggere questa pagina, assicurati di avere familiarità con la panoramica generale di Accesso dal sistema operativo.
Panoramica
Puoi configurare un vincolo OS Login nella tua organizzazione per assicurarti che in tutti i nuovi progetti e nelle istanze VM create in questi nuovi progetti sia abilitato OS Login. L'accesso al sistema operativo è diventato rapidamente unaGoogle Cloud best practice per la sicurezza, pertanto ti consigliamo di imporne l'utilizzo tramite un regolamento dell'organizzazione.
Le istruzioni riportate di seguito descrivono in dettaglio come attivare l'accesso a sistema operativo utilizzando un criterio dell'organizzazione in GKE.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:
- Attiva l'API Google Kubernetes Engine. Attiva l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività,
installa e poi
inizializza gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo
gcloud components update.
Aggiornare i progetti esistenti per utilizzare l'accesso del sistema operativo
Prima di impostare il criterio dell'organizzazione, esegui la migrazione di eventuali cluster esistenti per utilizzare OS Login.
Aggiorna la versione in tutti i pool di nodi di un progetto a una versione supportata:
gcloud container clusters upgrade CLUSTER_NAME \ --node-pool=NODE_POOL_NAME \ --cluster-version VERSIONSostituisci quanto segue:
CLUSTER_NAME: il nome del cluster esistente.NODE_POOL_NAME: il nome del pool di nodi.VERSION: una versione compatibile con OS Login, che può essere la versione 1.20.5 o successive.
Per impostazione predefinita, abilita OS Login su tutte le istanze VM esistenti e nuove impostando il flag
enable-osloginsuTRUE. Non è necessario riavviare il nodo.gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
Impostare il criterio dell'organizzazione di OS Login
Per impostare la limitazione di accesso al sistema operativo a livello di organizzazione, svolgi i seguenti passaggi:
Trova l'ID organizzazione eseguendo il seguente comando:
gcloud organizations listImposta il criterio dell'organizzazione di OS Login. Sostituisci
ORGANIZATION_IDcon l'ID della tua organizzazione.gcloud resource-manager org-policies enable-enforce \ compute.requireOsLogin \ --organization=ORGANIZATION_ID
Dopo aver impostato il criterio dell'organizzazione, vengono applicate le seguenti condizioni:
enable-osloginè impostato sutruenei metadati di progetto per tutti i nuovi progetti.- Le richieste di aggiornamento per impostare
enable-osloginsufalsenei metadati di istanza o progetto vengono rifiutate.
Gestire l'accesso ai nodi
Dopo aver attivato il criterio dell'organizzazione OS Login, non è più necessario gestire le chiavi SSH per prendere decisioni di autorizzazione. La funzionalità Accesso sistema operativo sposta la gestione delle autorizzazioni in Identity and Access Management. Per gestire l'accesso SSH ai nodi, utilizza OS Login. Per maggiori dettagli, vedi Configurare OS Login.
Passaggi successivi
- Scopri di più sul servizio OS Login.
- Scopri come risolvere i problemi relativi a OS Login.