Questa pagina è stata tradotta dall'API Cloud Translation.

Attivare e configurare l'accesso OS in GKE

Standard

Questa pagina spiega come attivare OS Login e configurare un criterio dell'organizzazione per applicare OS Login per i nodi e i cluster in modalità GKE Standard. Puoi utilizzare OS Login per gestire l'accesso SSH alle istanze utilizzando IAM senza dover creare e gestire singole chiavi SSH.

OS Login non è disponibile per i cluster in modalità GKE Autopilot perché GKE gestisce i nodi.

I cluster che utilizzano nodi pubblici non supportano OS Login. Se questo vincolo viene applicato a un progetto che esegue cluster con nodi pubblici, le istanze VM in esecuzione in quel progetto potrebbero non funzionare correttamente.

Questa pagina è dedicata agli esperti di sicurezza che vogliono aggiungere policy OS Login sui cluster GKE Standard per garantire che tutte le istanze VM abbiano OS Login per impostazione predefinita. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti, consulta Ruoli utente e attività comuni di GKE. Google Cloud

Prima di leggere questa pagina, assicurati di conoscere la panoramica generale di OS Login.

Panoramica

Puoi configurare un vincolo OS Login nella tua organizzazione per assicurarti che tutti i nuovi progetti e le istanze VM create in questi nuovi progetti abbiano OS Login abilitato. OS Login è diventato rapidamente una Google Cloud best practice di sicurezza, che consiglia di applicarne l'utilizzo tramite una policy dell'organizzazione.

Le seguenti istruzioni descrivono in dettaglio come abilitare OS Login utilizzando una policy dell'organizzazione in GKE.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

Attiva l'API Google Kubernetes Engine.

Attiva l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installala e poi inizializza gcloud CLI. Se hai già installato gcloud CLI, scarica l'ultima versione eseguendo gcloud components update.
Nota:per le installazioni esistenti di gcloud CLI, assicurati di impostare la proprietà compute/region. Se utilizzi principalmente cluster zonali, imposta invece compute/zone. Se imposti una località predefinita, puoi evitare errori in gcloud CLI come il seguente: One of [--zone, --region] must be supplied: Please specify location. Potresti dover specificare la posizione in determinati comandi se la posizione del cluster è diversa da quella predefinita che hai impostato.

Aggiorna i progetti esistenti per utilizzare OS Login

Prima di impostare la policy dell'organizzazione, esegui la migrazione di tutti i cluster esistenti per utilizzare OS Login.

Aggiorna la versione in tutti i node pool di un progetto a una versione supportata:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del tuo cluster esistente.
- NODE_POOL_NAME: il nome del pool di nodi.
- VERSION: una versione compatibile con OS Login, che può essere la 1.20.5 o successive.
Attiva OS Login su tutte le istanze VM esistenti e nuove per impostazione predefinita impostando il flag enable-oslogin su TRUE. Non è necessario riavviare il nodo.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Attenzione: l'attivazione di OS Login sulle istanze disabilita le configurazioni delle chiavi SSH basate su metadati su queste istanze. La disattivazione di OS Login ripristina le chiavi SSH che hai configurato nei metadati del progetto o dell'istanza.

Imposta il criterio dell'organizzazione di OS Login

Per impostare il vincolo OS Login a livello di organizzazione:

Trova l'ID organizzazione eseguendo questo comando:
```
gcloud organizations list
```

Imposta il criterio dell'organizzazione di OS Login. Sostituisci ORGANIZATION_ID con l'ID organizzazione.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Una volta impostato il criterio dell'organizzazione, vengono applicate le seguenti condizioni:

enable-oslogin è impostato su true nei metadati del progetto per tutti i nuovi progetti.
Le richieste di aggiornamento per impostare enable-oslogin su false nei metadati di istanza o progetto vengono rifiutate.

Gestire l'accesso ai nodi

Una volta attivata la policy dell'organizzazione OS Login, non è più necessario gestire le chiavi SSH per prendere decisioni di autorizzazione. L'OS Login sposta la gestione dell'autorizzazione a Identity and Access Management. Per gestire l'accesso SSH ai nodi, utilizza OS Login. Per maggiori dettagli, consulta Configurazione di OS Login.

Passaggi successivi

Scopri di più sul servizio OS Login.
Scopri come risolvere i problemi relativi a OS Login.