在舰队级层配置 GKE 安全状况信息中心功能


Google Kubernetes Engine (GKE) 安全状况信息中心可为您提供切实可行的建议,以改善集群的安全状况。如果您已启用 GKE Enterprise,则可以将安全状况作为舰队默认配置启用。本页面介绍如何配置这些舰队默认设置。

您可以为以下安全状况信息中心设置创建舰队级默认设置:

  • Kubernetes 安全状况扫描 standard 层级:审核舰队中的集群和工作负载是否存在常见的安全配置问题。
  • 工作负载漏洞扫描,可在以下层级中使用:
    • 工作负载操作系统漏洞扫描(standard 层级):扫描容器操作系统以查找已知漏洞。
    • 高级漏洞数据分析(enterprise 层级):扫描容器操作系统和语言包以查找已知漏洞。

如需了解如何为各个集群配置这些设置,请参阅以下资源:

配置舰队级默认设置

本部分介绍如何将安全状况信息中心功能配置为舰队级默认设置。您在集群创建期间注册到舰队的任何新集群都会启用指定的安全状况功能。 您配置的舰队级默认设置优先于任何默认的 GKE 安全状况设置。如需查看适用于您的 GKE 版本的默认设置,请参阅特定于集群的功能表

如需为安全状况配置舰队级默认设置,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往 Feature Manager 页面。

    前往 Feature Manager

  2. 安全状况窗格中,点击配置

  3. 查看舰队级设置。您注册到舰队的所有新集群都会继承这些设置。

  4. 可选:如需更改默认设置,请点击自定义舰队设置。在显示的自定义舰队默认配置对话框中,执行以下操作:

    1. 配置审核部分,选择是应启用还是停用配置审核
    2. 漏洞扫描部分,选择所需的漏洞扫描级别;已停用基本高级(推荐)
    3. 点击保存

    如果您稍后为这些功能停用舰队级配置,则现有成员集群中的当前工作负载仍会进行扫描,并且您可以在安全状况信息中心上看到安全问题。 但是,除非您单独为这些集群启用安全状况功能,否则系统不会在您在该舰队中创建的任何新集群中扫描所担心的问题。

  5. 如需将设置应用于新集群,请点击配置

  6. 在确认对话框中,点击确认

  7. 可选:将现有集群同步到默认设置:

    1. 舰队中的集群列表中,选择您要同步的集群。
    2. 点击同步到舰队设置,然后在出现的确认对话框中点击确认。此操作可能需要几分钟才能完成。

gcloud

确保您的版本为 gcloud CLI 455.0.0 版或更高版本。

为新舰队配置默认设置

您可以创建空舰队,并启用所需的安全状况信息中心功能。

  • 如需创建启用了工作负载配置审核的舰队,请运行以下命令:

    gcloud container fleet create --security-posture standard
    
  • 如需创建启用了工作负载漏洞扫描的舰队,请运行以下命令:

    gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER 替换为以下某个值:

    • standard:扫描容器操作系统以查找已知漏洞。
    • enterprise:扫描容器操作系统和语言包以查找已知漏洞。

为现有舰队配置默认设置

  • 如需在现有舰队上启用工作负载配置审核,请运行以下命令:

    gcloud container fleet update --security-posture standard
    
  • 如需在现有舰队上启用工作负载漏洞扫描,请运行以下命令:

    gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
    

    VULNERABILITY_SCANNING_TIER 替换为以下某个值:

    • standard:扫描容器操作系统以查找已知漏洞。
    • enterprise:扫描容器操作系统和语言包以查找已知漏洞。
  • 如需更改现有舰队上的工作负载漏洞扫描层级,请执行以下操作:

    1. 检查舰队中的现有安全状况信息中心设置:

      gcloud container fleet describe
      
    2. 将前面所述的 update 命令用于您要更改为的目标工作负载扫描层级:

      gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
      

在舰队级层停用安全状况信息中心功能

  • 如需停用工作负载配置审核,请运行以下命令:

    gcloud container fleet update --security-posture disabled
    
  • 如需停用工作负载漏洞扫描,请运行以下命令:

    gcloud container fleet update --workload-vulnerability-scanning disabled
    

如果您为这些功能停用舰队级配置,则现有成员集群中的当前工作负载仍会进行扫描,并且您可以在安全状况信息中心上查看安全问题。但是,除非您单独为这些集群启用安全状况功能,否则系统不会在您在该舰队中创建的任何新集群中扫描所担心的问题。

后续步骤