GKE에서 OS 로그인 사용 설정 및 구성


이 페이지에서는 OS 로그인을 사용 설정하고 비공개 GKE Standard 모드 클러스터 및 노드에 OS 로그인을 시행하는 조직 정책을 구성하는 방법을 설명합니다. GKE에서 노드를 관리하기 때문에 GKE Autopilot 모드 클러스터에 OS 로그인을 사용할 수 없습니다.

OS 로그인 서비스에 대한 자세한 내용은 OS 로그인에 대한 Compute Engine 문서를 참조하세요.

개요

조직에서 OS 로그인 제약조건을 설정하여 모든 신규 프로젝트와 새 프로젝트 내에서 생성된 VM 인스턴스에 OS 로그인을 사용 설정할 수 있습니다. OS 로그인은 Google Cloud 보안 권장사항으로 빠르게 발전하였으며 조직 정책을 통해 사용하는 것이 좋습니다.

다음 안내에서는 GKE에서 조직 정책을 사용하여 OS 로그인을 사용 설정하는 방법을 자세히 설명합니다.

시작하기 전에

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

  • Google Kubernetes Engine API를 사용 설정합니다.
  • Google Kubernetes Engine API 사용 설정
  • 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우 gcloud components update를 실행하여 최신 버전을 가져옵니다.

OS 로그인을 사용하도록 기존 프로젝트 업데이트

조직 정책을 설정하기 전에 OS 로그인을 사용하도록 기존 비공개 클러스터를 마이그레이션합니다.

  1. 프로젝트의 모든 노드 풀에 있는 버전을 지원되는 버전으로 업데이트합니다.

    gcloud container clusters upgrade CLUSTER_NAME \
        --node-pool=NODE_POOL_NAME \
        --cluster-version VERSION
    

    다음을 바꿉니다.

    • CLUSTER_NAME: 기존 클러스터의 이름입니다.
    • NODE_POOL_NAME: 노드 풀의 이름입니다.
    • VERSION: OS 로그인과 호환되는 버전이며 버전 1.20.5 이상일 수 있습니다.
  2. enable-oslogin 플래그를 TRUE로 설정하여 기본적으로 모든 기존 VM 인스턴스와 새 VM 인스턴스에서 OS 로그인을 사용 설정합니다. 노드를 재부팅하지 않아도 됩니다.

    gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
    

OS 로그인 조직 정책 설정

조직 수준에서 OS 로그인 제약조건을 설정하려면 다음을 수행합니다.

  1. 다음 명령어를 실행하여 조직 ID를 찾습니다.

    gcloud organizations list
    
  2. OS 로그인 조직 정책을 설정합니다. ORGANIZATION_ID를 조직 ID로 바꿉니다.

    gcloud resource-manager org-policies enable-enforce \
        compute.requireOsLogin \
        --organization=ORGANIZATION_ID
    

조직 정책을 설정하면 다음 조건이 적용됩니다.

  • 모든 신규 프로젝트의 프로젝트 메타데이터에서 enable-oslogintrue로 설정됩니다.
  • 인스턴스 또는 프로젝트 메타데이터에서 enable-osloginfalse로 설정하는 업데이트 요청이 거부됩니다.

노드 액세스 관리

OS 로그인 조직 정책을 사용 설정한 후에는 승인 결정을 위해 더 이상 SSH 키를 관리할 필요가 없습니다. OS 로그인은 승인 관리를 Identity and Access Management로 이동합니다. 노드에 대한 SSH 액세스를 관리하려면 OS 로그인을 사용합니다. 자세한 내용은 OS 로그인 설정을 참조하세요.

다음 단계