Esta página foi traduzida pela API Cloud Translation.

Ative e configure o Início de sessão do SO no GKE

Padrão

Esta página explica como ativar o início de sessão do SO e configurar uma política organizacional para aplicar o início de sessão do SO a clusters e nós do modo padrão do GKE. Pode usar o Início de sessão do SO para gerir o acesso SSH às suas instâncias através do IAM sem ter de criar e gerir chaves SSH individuais.

O início de sessão no SO não está disponível para clusters no modo Autopilot do GKE porque o GKE gere os nós.

Os clusters que usam nós públicos não suportam o início de sessão no SO. Se esta restrição for aplicada a um projeto que execute clusters com nós públicos, as instâncias de VMs que estão a ser executadas nesse projeto podem não funcionar corretamente.

Esta página destina-se a especialistas em segurança que querem adicionar políticas de início de sessão do SO em clusters padrão do GKE para garantir que todas as instâncias de VM têm o início de sessão do SO por predefinição. Para saber mais sobre as funções comuns e as tarefas de exemplo que referimos no conteúdo, consulte o artigo Funções e tarefas comuns do utilizador do GKE. Google Cloud

Antes de ler esta página, certifique-se de que conhece a vista geral do início de sessão do SO.

Vista geral

Pode configurar uma restrição de início de sessão do SO na sua organização para garantir que todos os novos projetos e as instâncias de VM criadas nestes novos projetos têm o início de sessão do SO ativado. O Início de sessão no SO tornou-se rapidamente uma Google Cloud prática recomendada de segurança, pelo que recomendamos que imponha a sua utilização através de uma política da organização.

As instruções seguintes detalham como ativar o Início de sessão do SO através de uma política de organização no GKE.

Antes de começar

Antes de começar, certifique-se de que realizou as seguintes tarefas:

Ative a API Google Kubernetes Engine.

Ative a API Google Kubernetes Engine

Se quiser usar a CLI gcloud para esta tarefa, instale-a e, em seguida, inicialize-a. Se instalou anteriormente a CLI gcloud, execute gcloud components update para obter a versão mais recente.
Nota: para instalações existentes da CLI gcloud, certifique-se de que define a compute/region propriedade. Se usar principalmente clusters zonais, defina o compute/zone. Ao definir uma localização predefinida, pode evitar erros na CLI gcloud, como os seguintes: One of [--zone, --region] must be supplied: Please specify location. Pode ter de especificar a localização em determinados comandos se a localização do seu cluster for diferente da predefinição que definiu.

Atualize projetos existentes para usar o Início de sessão do SO

Antes de definir a política da organização, migre todos os clusters existentes para usar o OS Login.

Atualize a versão em todos os node pools num projeto para uma versão suportada:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Substitua o seguinte:
- CLUSTER_NAME: o nome do cluster existente.
- NODE_POOL_NAME: o nome do node pool.
- VERSION: uma versão compatível com o Início de sessão do SO, que pode ser a versão 1.20.5 ou posterior.
Ative o início de sessão no SO em todas as instâncias de VM existentes e novas por predefinição definindo a flag enable-oslogin como TRUE. Não precisa de reiniciar o nó.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Aviso: a ativação do Início de sessão do SO nas instâncias desativa as configurações de chaves SSH baseadas em metadados nessas instâncias. A desativação do Início de sessão do SO restaura as chaves SSH que configurou nos metadados do projeto ou da instância.

Defina a política da organização do Início de sessão do SO

Para definir a restrição de Início de sessão do SO ao nível da organização, faça o seguinte:

Encontre o ID da sua organização executando o seguinte comando:
```
gcloud organizations list
```

Defina a política da organização do Início de sessão do SO. Substitua ORGANIZATION_ID pelo ID da sua organização.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Após a definição da política da organização, são aplicadas as seguintes condições:

enable-oslogin está definido como true nos metadados do projeto para todos os novos projetos.
Os pedidos de atualização para definir enable-oslogin como false nos metadados da instância ou do projeto são rejeitados.

Faça a gestão do acesso ao nó

Depois de ativar a política da organização OS Login, já não precisa de gerir chaves SSH para tomar decisões de autorização. O início de sessão no SO move a gestão de autorizações para a gestão de identidade e acesso. Para gerir o acesso SSH aos nós, use o Início de sessão do SO. Para mais detalhes, consulte o artigo Configurar o Início de sessão do SO.

O que se segue?

Saiba mais sobre o serviço de início de sessão do SO.
Saiba como resolver problemas com o Início de sessão do SO.