Como ativar e configurar o Login do SO no GKE

Padrão

Nesta página, documentamos como ativar o Login do SO e configurar uma política da organização para aplicá-la a clusters e nós particulares do GKE. O Login do SO não está disponível para clusters do modo Autopilot do GKE porque o GKE gerencia os nós.

Para saber mais sobre o serviço de Login do SO, consulte a documentação do Compute Engine sobre o Login do SO.

Visão geral

Configure uma restrição de Login do SO na organização para garantir que todos os novos projetos e as instâncias de VM criadas neles tenham esse recurso ativado. O Login do SO se tornou rapidamente uma prática recomendada de segurança do Google Cloud, recomendando a aplicação do uso por meio de uma política da organização.

Nas instruções a seguir, detalhamos como ativar o Login do SO usando uma política da organização no GKE.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

Ativar a API Google Kubernetes Engine.

Ativar a API Google Kubernetes Engine

Se você quiser usar a Google Cloud CLI para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a CLI gcloud anteriormente, instale a versão mais recente executando gcloud components update.
Observação: para instalações atuais da CLI gcloud, defina as propriedades compute/region e compute/zone. Definindo os locais padrão, você evita erros como este na CLI gcloud: One of [--zone, --region] must be supplied: Please specify location.

Atualizar projetos existentes para usar o login do SO

Antes de definir a política da organização, migre todos os clusters particulares atuais para usar o login do SO.

Atualize a versão em todos os pools de nós em um projeto para uma versão compatível:
```
gcloud container clusters upgrade CLUSTER_NAME \
    --node-pool=NODE_POOL_NAME \
    --cluster-version VERSION
```
Substitua:
- CLUSTER_NAME: o nome do cluster atual.
- NODE_POOL_NAME: o nome do pool de nós.
- VERSION: uma versão compatível com o Login do SO, que pode ser a versão 1.10.5 ou posterior.
Ative o Login do SO em todas as instâncias de VM atuais e novas por padrão definindo a sinalização enable-oslogin como TRUE. Não é necessário reinicializar o nó.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Cuidado: a ativação do Login do SO nas instâncias desativa nelas as configurações de chave SSH com base em metadados. A desativação do login do SO restaura as chaves SSH configuradas nos metadados do projeto ou da instância.

Definir a política da organização de Login do SO

Para definir a restrição de Login do SO no nível da organização, execute o seguinte:

Encontre o código da sua organização executando o seguinte comando:
```
gcloud organizations list
```

Definir a política da organização de Login do SO. Substitua ORGANIZATION_ID pelo ID da organização.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Depois que a política da organização for definida, as seguintes condições serão aplicadas:

enable-oslogin é definido como true nos metadados do projeto para todos os novos projetos.
As solicitações de atualização para definir enable-oslogin como false nos metadados da instância ou do projeto são rejeitadas.

Como gerenciar o acesso ao nó

Depois de ativar a política da organização de Login do SO, não será mais necessário gerenciar chaves SSH para tomar decisões de autorização. O Login do SO move o gerenciamento de autorização para o gerenciamento de identidade e acesso. Para gerenciar o acesso SSH aos nós, use o Login do SO. Para mais detalhes, consulte Como configurar o Login do SO.

A seguir

Saiba mais sobre o serviço de Login do SO.
Saiba como resolver problemas de login do SO.