Crittografa i dischi di avvio etcd e del control plane

---

Questa pagina mostra come criptare i dati memorizzati nel tuo Piano di controllo di Google Kubernetes Engine (GKE) che utilizza le chiavi che gestisci Cloud Key Management Service (Cloud KMS). Dovresti già conoscere concetti come etcd, l'architettura del cluster GKE e Cloud KMS.

Questa pagina descrive una parte di un insieme di funzionalità facoltative del piano di controllo in GKE che ti consente di eseguire attività come verificare la posizione di sicurezza del piano di controllo o configurare la crittografia e la firma delle credenziali nel piano di controllo utilizzando le chiavi che gestisci. Per maggiori dettagli, consulta Informazioni sull'autorità del piano di controllo.

Per impostazione predefinita, Google Cloud applica varie misure di sicurezza al control plane gestito. In questa pagina vengono descritte le funzionalità facoltative che offrono maggiore visibilità o controllo sulle il piano di controllo.

Informazioni sulla crittografia del disco di avvio e di etcd del piano di controllo

Per impostazione predefinita, GKE cripta il disco di avvio di un nodo del piano di controllo, il disco che archivia i dati in etcd e il backup operativo interno di Google Cloud di etcd utilizzando le chiavi di crittografia gestite da Google Cloud. Per informazioni dettagliate su questa crittografia predefinita, consulta Crittografia at-rest predefinita. Facoltativamente, puoi utilizzare la tua crittografia e chiavi che gestisci usando Cloud KMS per criptare queste risorse. Per approfondire, consulta Crittografia del disco di avvio del control plane e di etcd.

In Cloud KMS crei le chiavi utilizzate da GKE per criptare le risorse del piano di controllo. Tieni presente quanto segue quando crei queste risorse:

• Puoi utilizzare un portachiavi per tutte le chiavi di un cluster, indipendentemente dall'uso di ciascuna chiave. Se hai già un keyring che hai utilizzato per uno scopo diverso, ad esempio configurare le proprie autorità di certificazione, puoi usare quel keyring per questa guida.
• Devi creare le chiavi nella stessa località Google Cloud della tua per una latenza migliore.
• Per la maggior parte dei casi d'uso, puoi utilizzare la chiave Cloud KMS software livello di protezione. Puoi anche utilizzare chiavi hardware con Cloud HSM.
• Devi specificare il flag --purpose con il valore encryption perché queste chiavi vengono utilizzate per la crittografia simmetrica.
• Non devi modificare la durata predefinita per l'eliminazione delle chiavi.

Utilizzo con altre funzionalità di autorità del piano di controllo GKE

L'autorità del control plane GKE fornisce le seguenti funzionalità relative alle chiavi gestite autonomamente che devi attivare contemporaneamente quando crei un cluster:

• Crittografa i componenti del piano di controllo (questa pagina)
• Gestisci le tue autorità di certificazione (CA) e le tue chiavi

Puoi abilitare queste funzionalità solo quando crei un nuovo GKE in un cluster Kubernetes. Non puoi aggiornare i cluster esistenti per utilizzare queste funzionalità. Per utilizzare entrambi di queste caratteristiche nello stesso cluster, di configurazione in entrambe le guide, quindi eseguirai la creazione del cluster che abilita entrambi gli insiemi di funzionalità, come descritto in Sezione Crea un cluster.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

• Attiva l'API Google Kubernetes Engine.
Abilita l'API Google Kubernetes Engine
• Se vuoi utilizzare Google Cloud CLI per questa attività, installa e poi inizializza gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.

• Assicurati che il progetto chiave disponga di un keyring di Cloud KMS in un cluster Kubernetes. Puoi utilizzare qualsiasi keyring esistente nella località del cluster. Per creare un nuovo keyring, consulta Creare un keyring.

• Enable the Cloud Key Management Service API.

  Enable the API

Identifica progetti

Ti consigliamo di utilizzare progetti Google Cloud separati, come segue:

• Progetto chiave: contiene tutte le chiavi.
• Progetto cluster: contiene i cluster GKE.

Facoltativamente, puoi usare lo stesso progetto per le chiavi e GKE, ma ti consigliamo di usare progetti separati i team che gestiscono le chiavi e le operazioni crittografiche sono separati dai team che gestiscono i cluster.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per eseguire le tue chiavi di crittografia, chiedi all'amministratore di concederti seguenti ruoli IAM:

• Crea chiavi Cloud KMS: Amministratore Cloud KMS (roles/cloudkms.admin) sul tuo progetto chiave
• Crea cluster GKE: Amministratore cluster Kubernetes Engine (roles/container.clusterAdmin) nel progetto del cluster

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Requisiti

Il cluster deve eseguire GKE versione 1.31.1-gke.1846000 o successiva.

Limitazioni

• Puoi configurare le chiavi di crittografia del disco di avvio e di etcd solo durante la creazione del cluster.

• Per i cluster in modalità standard regionali e per i cluster Autopilot, la regione in cui crei un cluster deve avere la capacità per la modalità riservata per Hyperdisk bilanciata in almeno tre zone della regione.

  Per i cluster in modalità standard a livello di zona, la zona del cluster deve avere una capacità Hyperdisk Balanced. Per assistenza con contatta l'assistenza clienti Google Cloud.

  La modalità riservata per Hyperdisk Balanced è disponibile solo in regioni specifiche. Per maggiori dettagli, vedi Regioni supportate per i volumi bilanciati Hyperdisk in modalità riservata.

• GKE supporta solo le chiavi di Cloud KMS. Non puoi utilizzare un altro provider KMS di Kubernetes o un altro provider di crittografia.

• Le chiavi Cloud External Key Manager (Cloud EKM) non sono supportate.

• Non puoi accedere o interagire con i backup operativi interni di Google Cloud di etcd, che sono destinati solo al disaster recovery.

• I portachiavi multiregionali non sono supportati. Devi utilizzare un keyring regionale.

Crea chiavi

In questa sezione crei una chiave di crittografia per i dischi di avvio e i dischi etcd nel piano di controllo e una chiave di crittografia separata per il backup operativo interno di Google Cloud di etcd. Puoi usare un keyring per contenere tutti i queste chiavi ed eventuali altre chiavi per il cluster.

1. Crea la chiave di crittografia per i dischi di avvio e i dischi etcd del piano di controllo:

   gcloud kms keys create KCP_DISK_KEY_NAME \
       --keyring=KEYRING_NAME \
       --location=LOCATION \
       --purpose="encryption" \
       --protection-level=PROTECTION_LEVEL \
       --project=KEY_PROJECT_ID
   

   Sostituisci quanto segue:

   • KCP_DISK_KEY_NAME: il nome della crittografia chiave per i dischi di avvio e i dischi etcd del piano di controllo.
   • KEYRING_NAME: il nome del keyring per contenere le tue chiavi di crittografia per il cluster.
   • LOCATION: la località di Google Cloud per il keyring. Deve essere uguale alla località del cluster. Per una lista di regioni, filtra in base a "Regione" nel Tabella delle località Cloud KMS.
   • PROTECTION_LEVEL: il livello di protezione per come software o hsm.
   • KEY_PROJECT_ID: l'ID del tuo progetto principale.

2. Crea la chiave di crittografia del backup interno etcd:

   gcloud kms keys create ETCD_BACKUP_KEY_NAME \
       --keyring=KEYRING_NAME \
       --location=LOCATION \
       --purpose="encryption" \
       --protection-level=PROTECTION_LEVEL \
       --project=KEY_PROJECT_ID
   

   Sostituisci ETCD_BACKUP_KEY_NAME con un nome per la chiave di crittografia del backup interno di etcd.

Concedi i ruoli IAM all'agente di servizio GKE

In questa sezione, assegnerai i ruoli IAM alle chiavi che hai creato Agente di servizio GKE nel progetto del cluster. L'agente di servizio GKE richiede questi ruoli per utilizzare queste chiavi al fine di criptare le risorse del piano di controllo corrispondenti.

1. Trova il numero di progetto del cluster:

   gcloud projects describe CLUSTER_PROJECT_ID \
       --format='value(projectNumber)'
   

   Sostituisci CLUSTER_PROJECT_ID con l'ID del progetto del tuo cluster GKE.

   L'output è simile al seguente:

   1234567890
   

2. Concedi il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) alla chiave di crittografia per i dischi di avvio e i dischi etcd all'agente di servizio GKE nel progetto del cluster:

   gcloud kms keys add-iam-policy-binding KCP_DISK_KEY_NAME \
       --location=LOCATION \
       --keyring=KEYRING_NAME \
       --member="serviceAccount:service-CLUSTER_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com" \
       --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
       --project=KEY_PROJECT_ID
   

   Sostituisci quanto segue:

   • KCP_DISK_KEY_NAME: il nome della chiave di crittografia del disco.
   • LOCATION: la posizione Google Cloud per la chiave.
   • KEYRING_NAME: il nome del keyring che che contiene la chiave di crittografia.
   • CLUSTER_PROJECT_NUMBER: il numero numerico del progetto del cluster che hai trovato nel passaggio precedente.
   • KEY_PROJECT_ID: l'ID progetto del tuo progetto chiave.

3. Concedi Autore crittografia/decrittografia CryptoKey Cloud KMS tramite delega Ruolo (roles/cloudkms.cryptoKeyEncrypterDecrypterViaDelegation) per la chiave di crittografia per dischi di avvio ed etcd all'agente di servizio GKE nella progetto cluster:

   gcloud kms keys add-iam-policy-binding KCP_DISK_KEY_NAME \
       --location=LOCATION \
       --keyring=KEYRING_NAME \
       --member="serviceAccount:service-CLUSTER_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com" \
       --role=roles/cloudkms.cryptoKeyEncrypterDecrypterViaDelegation \
       --project=KEY_PROJECT_ID
   

4. Concedi il ruolo Autore crittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypter) alla chiave di crittografia del backup interno di etcd all'agente di servizio GKE nel progetto del cluster:

   gcloud kms keys add-iam-policy-binding ETCD_BACKUP_KEY_NAME \
       --location=LOCATION \
       --keyring=KEYRING_NAME \
       --member="serviceAccount:service-CLUSTER_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com" \
       --role=roles/cloudkms.cryptoKeyEncrypter \
       --project=KEY_PROJECT_ID
   

   Sostituisci ETCD_BACKUP_KEY_NAME con il nome della chiave di crittografia del backup operativo di etcd.

   La concessione del ruolo roles/cloudkms.cryptoKeyEncrypter impedisce a GKE di eseguire ripristini del database per tuo conto e aumenta notevolmente il tempo necessario per ripristinare la funzionalità in caso di un problema del database. Per consentire a GKE di eseguire i ripristini per tuo conto, concedi invece il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter.

Usa le chiavi di crittografia in un cluster

Questa sezione mostra come identificare i percorsi delle chiavi di crittografia.

1. Identifica il percorso della chiave di crittografia del disco:

   gcloud kms keys describe KCP_DISK_KEY_NAME \
       --keyring=KEYRING_NAME \
       --location=LOCATION \
       --project=KEY_PROJECT_ID \
       --format="value(name)"
   

   Sostituisci quanto segue:

   • KCP_DISK_KEY_NAME: il nome della chiave di crittografia per i dischi di avvio del piano di controllo e i dischi etcd.
   • KEYRING_NAME: il nome della chiave contenente la chiave.
   • LOCATION: la località di Google Cloud chiave.
   • KEY_PROJECT_ID: l'ID del tuo progetto principale.

   L'output è simile al seguente:

   projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/disk-encryption-key
   

2. Identifica il percorso della chiave di crittografia del backup interno etcd:

   gcloud kms keys describe ETCD_BACKUP_KEY_NAME \
       --keyring=KEYRING_NAME \
       --location=LOCATION \
       --project=KEY_PROJECT_ID \
       --format="value(name)"
   

   Sostituisci ETCD_BACKUP_KEY_NAME con il nome della chiave di crittografia del backup operativo di etcd.

   L'output è simile al seguente:

   projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/etcd-backup-encryption-key
   

Crea un cluster

In questa sezione creerai un cluster con diverse opzioni specificate a seconda delle funzionalità di autorità del piano di controllo GKE configurare. Puoi configurare queste funzionalità su un cluster solo durante la sua creazione.

• Per creare un cluster che configuri la crittografia dei dischi ed esegua le tue CA e le chiavi di firma degli account di servizio:

  1. Esegui tutti i passaggi di configurazione delle chiavi e delle CA in Eseguire le tue chiavi e le tue autorità di certificazione.
  2. Trova i percorsi di ciascuna delle chiavi e delle CA dell'account di servizio seguendo le istruzioni riportate in Configurare CA e chiavi in un nuovo cluster.

  3. Crea un cluster:

     gcloud container clusters create-auto CLUSTER_NAME \
         --location=LOCATION \
         --project=CLUSTER_PROJECT_ID \
         --control-plane-disk-encryption-key=PATH_TO_DISK_KEY \
         --gkeops-etcd-backup-encryption-key=PATH_TO_ETCD_BACKUP_KEY \
         --service-account-signing-keys=PATH_TO_SIGNING_KEY_VERSION \
         --service-account-verification-keys=PATH_TO_VERIFICATION_KEY_VERSION \
         --cluster-ca=PATH_TO_CLUSTER_CA \
         --etcd-peer-ca=PATH_TO_ETCD_PEER_CA \
         --etcd-api-ca=PATH_TO_ETCD_API_CA \
         --aggregation-ca=PATH_TO_AGGREGATION_CA
     

     Sostituisci quanto segue:

     • CLUSTER_NAME: il nome del nuovo cluster.
     • LOCATION: la posizione del nuovo cluster.
     • CLUSTER_PROJECT_ID: l'ID del tuo progetto cluster.
     • PATH_TO_DISK_KEY: il percorso della chiave di crittografia del disco dei passaggi precedenti di questa pagina.
     • PATH_TO_ETCD_BACKUP_KEY: il percorso della chiave di crittografia del backup interno di etcd dei passaggi precedenti di questa pagina.
     • PATH_TO_SIGNING_KEY_VERSION: il percorso della versione della chiave di firma del servizio account Kubernetes in Cloud KMS.
     • PATH_TO_VERIFICATION_KEY_VERSION: il percorso della versione della chiave di verifica del servizio account Kubernetes in Cloud KMS.
     • PATH_TO_CLUSTER_CA: il percorso del cluster Pool di CA.
     • PATH_TO_ETCD_PEER_CA: il percorso del file etcd pool di CA peer.
     • PATH_TO_ETCD_API_CA: il percorso del pool di CA dell'API etcd.
     • PATH_TO_AGGREGATION_CA: il percorso pool di CA di aggregazione.

• Per creare un cluster che configuri la crittografia del disco solo utilizzando le chiavi creato in questa guida, esegui questo comando:

  gcloud container clusters create-auto CLUSTER_NAME \
      --location=LOCATION \
      --project=CLUSTER_PROJECT_ID \
      --control-plane-disk-encryption-key=PATH_TO_DISK_KEY \
      --gkeops-etcd-backup-encryption-key=PATH_TO_ETCD_BACKUP_KEY
  

  Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • LOCATION: la posizione del nuovo cluster.
  • CLUSTER_PROJECT_ID: l'ID progetto del tuo progetto cluster.
  • PATH_TO_DISK_KEY: il percorso del disco la chiave di crittografia dei passaggi precedenti.
  • PATH_TO_ETCD_BACKUP_KEY: il percorso del file etcd chiave di crittografia del backup interno della precedente passaggi.

Puoi anche specificare tutti questi flag quando crei un nuovo di alta qualità.

Verificare lo stato della chiave di crittografia

Questa sezione mostra come verificare la chiave di crittografia utilizzata durante per la creazione del cluster. Puoi eseguire questa verifica utilizzando Cloud Logging oppure con Google Cloud CLI.

Utilizzare il logging per verificare le chiavi

Per verificare le chiavi utilizzando Logging:

1. Nella console Google Cloud, vai alla pagina Esplora log:

   Vai a Esplora log

2. Recupera il log di creazione del cluster specificando la seguente query:

   resource.type="gke_cluster" resource.labels.cluster_name="CLUSTER_NAME"
   resource.labels.location="CLUSTER_LOCATION"
   protoPayload.serviceName="container.googleapis.com"
   protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
   protoPayload.request.cluster.userManagedKeysConfig:*
   

3. Fai clic su Esegui query.

Nell'output, verifica che i parametri di creazione del cluster includano un percorso della chiave corrispondente a quella configurata in Cloud KMS.

Utilizza gcloud CLI per verificare le chiavi

Per utilizzare gcloud CLI per verificare la chiave di crittografia, segui questi passaggi:

1. Per la chiave di crittografia del disco, esegui questo comando:

   gcloud container clusters describe CLUSTER_NAME \
       --location=LOCATION \
       --format="value(userManagedKeysConfig.controlPlaneDiskEncryptionKey)"
   

2. Per la chiave di crittografia del backup interno di etcd, esegui il seguente comando:

   gcloud container clusters describe CLUSTER_NAME \
       --location=LOCATION \
       --format="value(userManagedKeysConfig.gkeopsEtcdBackupEncryptionKey)"
   

Passaggi successivi

• Scopri che cos'altro puoi visualizzare nel piano di controllo
• Esegui le tue autorità di certificazione e le tue chiavi in GKE
• Verificare l'integrità della VM del piano di controllo