Como ativar e configurar o Login do SO no GKE


Nesta página, documentamos como ativar o Login do SO e configurar uma política da organização para aplicá-la a clusters e nós particulares do GKE. O Login do SO não está disponível para clusters do modo Autopilot do GKE porque o GKE gerencia os nós.

Para saber mais sobre o serviço de Login do SO, consulte a documentação do Compute Engine sobre o Login do SO.

Informações gerais

Configure uma restrição de Login do SO na organização para garantir que todos os novos projetos e as instâncias de VM criadas neles tenham esse recurso ativado. O Login do SO se tornou rapidamente uma prática recomendada de segurança do Google Cloud, recomendando a aplicação do uso por meio de uma política da organização.

Nas instruções a seguir, detalhamos como ativar o Login do SO usando uma política da organização no GKE.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

  • Ativar a API Google Kubernetes Engine.
  • Ativar a API Google Kubernetes Engine
  • Se você quiser usar a Google Cloud CLI para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a CLI gcloud anteriormente, instale a versão mais recente executando gcloud components update.

Atualizar projetos existentes para usar o login do SO

Antes de definir a política da organização, migre todos os clusters particulares atuais para usar o login do SO.

  1. Atualize a versão em todos os pools de nós em um projeto para uma versão compatível:

    gcloud container clusters upgrade CLUSTER_NAME \
        --node-pool=NODE_POOL_NAME \
        --cluster-version VERSION
    

    Substitua:

    • CLUSTER_NAME: o nome do cluster atual.
    • NODE_POOL_NAME: o nome do pool de nós.
    • VERSION: uma versão compatível com o Login do SO, que pode ser a versão 1.10.5 ou posterior.
  2. Ative o Login do SO em todas as instâncias de VM atuais e novas por padrão definindo a sinalização enable-oslogin como TRUE. Não é necessário reinicializar o nó.

    gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
    

Definir a política da organização de Login do SO

Para definir a restrição de Login do SO no nível da organização, execute o seguinte:

  1. Encontre o código da sua organização executando o seguinte comando:

    gcloud organizations list
    
  2. Definir a política da organização de Login do SO. Substitua ORGANIZATION_ID pelo ID da organização.

    gcloud resource-manager org-policies enable-enforce \
        compute.requireOsLogin \
        --organization=ORGANIZATION_ID
    

Depois que a política da organização for definida, as seguintes condições serão aplicadas:

  • enable-oslogin é definido como true nos metadados do projeto para todos os novos projetos.
  • As solicitações de atualização para definir enable-oslogin como false nos metadados da instância ou do projeto são rejeitadas.

Como gerenciar o acesso ao nó

Depois de ativar a política da organização de Login do SO, não será mais necessário gerenciar chaves SSH para tomar decisões de autorização. O Login do SO move o gerenciamento de autorização para o gerenciamento de identidade e acesso. Para gerenciar o acesso SSH aos nós, use o Login do SO. Para mais detalhes, consulte Como configurar o Login do SO.

A seguir