Questa pagina è stata tradotta dall'API Cloud Translation.

Abilitazione e configurazione di OS Login in GKE

Standard

Questa pagina descrive come attivare OS Login e configurare un criterio dell'organizzazione per applicare OS Login per i cluster e i nodi in modalità GKE Standard. L'OS Login non è disponibile per i cluster GKE in modalità Autopilot perché GKE gestisce i nodi.

Per scoprire di più sul servizio OS Login, consulta la documentazione di Compute Engine su OS Login.

Panoramica

Puoi configurare un vincolo OS Login nella tua organizzazione per assicurarti che in tutti i nuovi progetti e nelle istanze VM create in questi nuovi progetti sia abilitato OS Login. L'OS Login è diventato rapidamente una best practice per la sicurezza di Google Cloud. Ti consigliamo di applicarne l'utilizzo tramite un criterio dell'organizzazione.

Le istruzioni riportate di seguito descrivono in dettaglio come attivare lOS Login#39;accesso a sistema operativo utilizzando un criterio dell'organizzazione in GKE.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

Attiva l'API Google Kubernetes Engine.

Attiva l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installa e poi inizializza gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo gcloud components update.
Nota: per le installazioni esistenti di gcloud CLI, assicurati di impostare le proprietà compute/region e compute/zone. Se imposti le posizioni predefinite, puoi evitare errori in gcloud CLI come il seguente: One of [--zone, --region] must be supplied: Please specify location.

Aggiornare i progetti esistenti per utilizzare lOS Login

Prima di impostare il criterio dell'organizzazione, esegui la migrazione di eventuali cluster esistenti in modo che utilizzino OS Login.

Aggiorna la versione in tutti i pool di nodi di un progetto a una versione supportata:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del cluster esistente.
- NODE_POOL_NAME: il nome del pool di nodi.
- VERSION: una versione compatibile con OS Login, che può essere la versione 1.20.5 o successive.
Per impostazione predefinita, abilita OS Login su tutte le istanze VM esistenti e nuove impostando il flag enable-oslogin su TRUE. Non è necessario riavviare il nodo.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Attenzione: l'attivazione dell'accesso al sistema operativo sulle istanze disattiva le configurazioni delle chiavi SSH basate su metadati su queste istanze. La disattivazione di OS Login ripristina le chiavi SSH che hai configurato nei metadati del progetto o dell'istanza.

Impostare il criterio dell'organizzazione di OS Login

Per impostare la limitazione di OS Login a livello di organizzazione, svolgi i seguenti passaggi:

Trova l'ID organizzazione eseguendo il seguente comando:
```
gcloud organizations list
```

Imposta il criterio dell'organizzazione di OS Login. Sostituisci ORGANIZATION_ID con l'ID della tua organizzazione.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Dopo aver impostato il criterio dell'organizzazione, vengono applicate le seguenti condizioni:

enable-oslogin è impostato su true nei metadati del progetto per tutti i nuovi progetti.
Le richieste di aggiornamento per impostare enable-oslogin su false nei metadati di istanza o progetto vengono rifiutate.

Gestione dell'accesso ai nodi

Dopo aver attivato il criterio dell'organizzazione OS Login, non è più necessario gestire le chiavi SSH per prendere decisioni di autorizzazione. La OS Login sposta la gestione delle autorizzazioni in Identity and Access Management. Per gestire l'accesso SSH ai nodi, utilizza l'accesso OS Login. Per maggiori dettagli, vedi Configurare OS Login.

Passaggi successivi

Scopri di più sul servizio OS Login.
Scopri come risolvere i problemi relativi a OS Login.