Diese Seite wurde von der Cloud Translation API übersetzt.

VM-Agents auf jedem GKE-Knoten in Organisationen ausführen

Standard

Auf dieser Seite wird beschrieben, wie Sie mithilfe des Organization Policy Service dafür sorgen, dass der VM Manager auf allen Compute Engine-Instanzen aktiviert ist, einschließlich Google Kubernetes Engine-VMs in einer Organisation, einem Ordner oder einem Projekt.

Dieser Leitfaden richtet sich an Sicherheitsteams, die dafür sorgen möchten, dass alle erforderlichen Programme wie Sicherheits- und Monitoring-Agenten in allen Instanzen einer Organisation, eines Ordners oder eines Projekts ausgeführt werden. Wenn Sie die Konfiguration nur mit einer Organisationsrichtlinie erzwingen möchten, folgen Sie dieser Anleitung. Wenn Sie die Konfiguration als Code behandeln möchten, verwenden Sie Config Sync. Mit Config Sync können Sie viele Aspekte Ihrer Cluster konfigurieren und steuern. Außerdem bietet es Vorteile, die über die Richtlinien Ihrer Organisation hinausgehen.

Machen Sie sich vor dem Lesen dieser Seite mit dem VM Manager und den Einschränkungen von Resource Manager vertraut.

In dieser Anleitung erfahren Sie, wie Sie die Verwendung von VM Manager in allen Projekten in einer Organisation oder einem Ordner erzwingen. In dieser Anleitung erfahren Sie nicht, wie Sie VM Manager mit Betriebssystemrichtlinien einrichten und verwenden. Eine Anleitung dazu finden Sie unter Zuweisung von Betriebssystemrichtlinien erstellen.

Informationen zu VM Manager

VM Manager besteht aus Tools zur Verwaltung von Betriebssystemen für eine große Anzahl virtueller Maschinen, auf denen Windows und Linux in der Compute Engine ausgeführt werden. Mit VM Manager können Sie Betriebssystemrichtlinien anwenden, um die Programme anzupassen, die auf VMs ausgeführt werden. Sie können beispielsweise eine Richtlinie definieren, um einen Agenten auf einer Ressource zu installieren, und diese Richtlinie für mehrere Ressourcen wiederverwenden. VM Manager ist standardmäßig inGoogle Cloud -Projekten deaktiviert.

Mit OSPolicyAssignments können Sie festlegen, wo VM Manager Richtlinien anwendet. Mithilfe von Auswahlschaltern können Sie Betriebssystemrichtlinien auf bestimmte VMs beschränken. Beispielsweise haben alle GKE-Knoten-VMs das Label goog-gke-node, auf das Sie eine Zuweisung von Betriebssystemrichtlinien anwenden können.

Organisationsrichtlinien und VM Manager

Wenn Ihre Google Cloud -Organisation mehrere Hierarchieebenen wie Ordner und Unterordner hat, kann das manuelle Aktivieren von VM Manager für alle diese Projekte zu unnötigem Verwaltungsaufwand führen. Sie können mit dem Organisationsrichtliniendienst und der Einschränkung constraints/compute.requireOsConfig festlegen, dass VM Manager für alle VMs in allen Projekten in Ordnern oder in einer Organisation aktiviert werden muss. Die Durchsetzung von VM Manager mithilfe einer Organisationsrichtlinie bietet unter anderem folgende Vorteile:

Bei allen neuen Projekten wird jedem Projekt und jeder VM das Metadatenlabel enable-osconfig=TRUE hinzugefügt.
Wenn jemand versucht, dieses Label zu entfernen oder einen anderen Wert als true festzulegen, wird diese Änderung abgelehnt.
Wenn jemand versucht, eine VM so zu erstellen oder zu aktualisieren, dass der Metadatenschlüssel enable-osconfig auf einen anderen Wert als true festgelegt wird, wird diese Änderung abgelehnt.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Aktivieren Sie die Google Kubernetes Engine API.

Google Kubernetes Engine API aktivieren

Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit gcloud components update ab.
Hinweis: Legen Sie für vorhandene Installationen der gcloud CLI die compute/region- und compute/zone-Attribute fest. Durch das Festlegen von Standardspeicherorten können Sie in der gcloud CLI Fehler wie One of [--zone, --region] must be supplied: Please specify location vermeiden.

Sie müssen VM Manager bereits mit Betriebssystemrichtlinien und Zuweisungen von Betriebssystemrichtlinien verwenden, um Agents auf Ihren VMs auszuführen. Eine Anleitung finden Sie unter Zuweisung von Betriebssystemrichtlinien erstellen.
Enable the Cloud Resource Manager API, OS Config API APIs.
Enable the APIs

Beschränkungen

Die Organisationsrichtlinie constraints/compute.requireOsConfig hat die folgenden Einschränkungen:

Ressourcen mit bereits bestehenden Verstößen bleiben von der neuen Organisationsrichtlinie unberührt. Sie können die Metadaten für die Richtlinie manuell oder mithilfe von gcloud für vorhandene Ressourcen festlegen.
Jeder, der die Berechtigung zum Ändern von Metadaten auf Compute Engine-Instanzen im Projekt hat, kann osconfig-agent auf der VM deaktivieren, indem er das Metadatenfeld osconfig-disabled-features festlegt.
Wenn die osconfig-agent nicht ausgeführt wird, wird die VM im VM Manager-Dashboard als nicht konform angezeigt. Das kann beispielsweise passieren, wenn ein Nutzer den Bot manuell deaktiviert hat.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

compute.requireOsConfig für eine Organisation aktivieren

Nachdem Sie VM Manager aktiviert und eine OSPolicyAssignment auf Ihre VMs angewendet haben, können Sie mit der Organisationsrichtlinie constraints/compute.requireOsConfig dafür sorgen, dass VM Manager standardmäßig in allen neuen Projekten aktiviert ist. Wie Sie constraints/compute.requireOsConfig erzwingen, hängt von der verwendeten API-Version ab.

Organization Policy v2 API

Sie können die constraints/compute.requireOsConfig-Einschränkung für eineGoogle Cloud -Ressource wie einen Ordner oder eine Organisation mithilfe der gcloud CLI oder der Google Cloud -Konsole erzwingen.

gcloud

Prüfen Sie, ob die Einschränkung compute.requireOsConfig nicht bereits angewendet wird:
```
gcloud org-policies describe \
    constraints/compute.requireOsConfig \
    --organization=ORGANIZATION_ID
```
Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Wenn keine Richtlinie festgelegt wurde, gibt der Befehl den Fehler NOT_FOUND zurück:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Wenn die Richtlinie vorhanden ist, gibt der Befehl die aktuelle Richtlinie zurück. Wenn Sie eine neue Richtlinie anwenden, wird die vorhandene Richtlinie überschrieben, sofern vorhanden.

Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

Führen Sie den Befehl set-policy aus:

gcloud org-policies set-policy /tmp/policy.yaml

Prüfen Sie, ob die neue Richtlinie angewendet wird:

gcloud org-policies describe \
    constraints/compute.requireOsConfig --effective \
    --organization=ORGANIZATION_ID

Die Ausgabe dieses Befehls sieht in etwa so aus:

name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

Console

Rufen Sie in der Google Cloud -Konsole die Seite Organisationsrichtlinien auf.

Zu den Organisationsrichtlinien
Wählen Sie in der Projektauswahl das Projekt, den Ordner oder die Organisation aus, für das bzw. die Sie die Organisationsrichtlinien bearbeiten möchten.
Suchen Sie auf der Seite Organisationsrichtlinien mit dem Filter nach compute.requireOsConfig.
Klicken Sie auf den Namen der Richtlinie, um die Seite Richtliniendetails zu öffnen.
Klicken Sie auf Richtlinie verwalten, um die Organisationsrichtlinie für diese Ressource zu aktualisieren.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Wählen Sie Regel hinzufügen aus.
Aktivieren Sie unter Erzwingung die Erzwingung dieser Organisationsrichtlinie.
Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.

Resource Manager v1 API

Prüfen Sie, ob die Einschränkung compute.requireOsConfig nicht bereits angewendet wird:
```
gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID
```
Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Wenn keine Richtlinie festgelegt wurde, gibt dieser Befehl eine unvollständige Richtlinie zurück, wie im folgenden Beispiel:
```
constraint: "constraints/compute.requireOsConfig"
etag: BwVJi0OOESU=
```
Wenn die Richtlinie vorhanden ist, gibt der Befehl die aktuelle Richtlinie zurück. Wenn Sie eine neue Richtlinie anwenden, wird die vorhandene Richtlinie überschrieben, sofern vorhanden.

Legen Sie die Richtlinie fest, die für die Organisation erzwungen werden soll:

gcloud resource-manager org-policies enable-enforce constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID

Die Ausgabe dieses Befehls sieht in etwa so aus:

booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig
etag: BwVJitxdiwY=

Prüfen Sie, ob die neue Richtlinie angewendet wird:

gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --effective \
    --organization ORGANIZATION_ID

Die Ausgabe dieses Befehls sieht in etwa so aus:

booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig

Es kann bis zu 15 Minuten dauern, bis Änderungen an Organisationsrichtlinien vollständig erzwungen werden.

Weitere Informationen zu anderen Richtlinien, die Sie anwenden können, oder zum Ändern oder Löschen von Richtlinien finden Sie in der Resource Manager-Dokumentation.

Nächste Schritte

Weitere Informationen zum GKE-Audit-Logging