Questa pagina mostra come utilizzare la funzionalità Nodi GKE schermati. I nodi GKE schermati forniscono identità e integrità del nodo solide e verificabili per aumentare la sicurezza dei nodi di Google Kubernetes Engine (GKE).
Per i cluster GKE Autopilot, la funzionalità Nodi GKE schermati è abilitata per impostazione predefinita e non può essere ignorata. Per i cluster GKE Standard, la funzionalità nodi GKE schermati è abilitata per impostazione predefinita, ma può essere ignorata.
Informazioni sui nodi GKE schermati
I nodi GKE schermati sono basati sulle VM schermate di Compute Engine. Senza nodi GKE schermati, un utente malintenzionato può sfruttare una vulnerabilità in un pod per esfiltrare le credenziali di bootstrap e impersonare i nodi nel cluster, consentendo agli utenti malintenzionati di accedere ai secret del cluster. Se i nodi GKE schermati sono abilitati, il piano di controllo GKE verifica in modo crittografico che:
- Ogni nodo nel tuo cluster è una macchina virtuale in esecuzione nel data center di Google.
- Ogni nodo fa parte del gruppo di istanze gestite di cui è stato eseguito il provisioning per il cluster.
- È in corso il provisioning di un certificato per il kubelet per il nodo su cui è in esecuzione.
Questo limita la capacità di un utente malintenzionato di impersonare un nodo nel cluster anche se è in grado di esfiltrare le credenziali di bootstrap del nodo.
I nodi del piano di controllo del cluster GKE utilizzano sempre i nodi GKE schermati, anche se disabiliti la funzionalità sul cluster. L'abilitazione o la disabilitazione dei nodi GKE schermati influisce solo sull'utilizzo della funzionalità da parte dei nodi worker che eseguono i carichi di lavoro.
Prezzi
Non sono previsti costi aggiuntivi per l'esecuzione dei nodi GKE schermati. Tuttavia, i nodi GKE schermati generano circa 0,5 kB di log in più all'avvio rispetto ai nodi standard. Per i dettagli, consulta la pagina dei prezzi di Cloud Logging.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Abilita l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività, installa e quindi initialize gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo
gcloud components update.
Abilitazione dei nodi GKE schermati in un nuovo cluster
Puoi creare un nuovo cluster con nodi GKE schermati abilitati utilizzando gcloud CLI o la console Google Cloud.
gcloud
Quando crei un nuovo cluster, specifica l'opzione --enable-shielded-nodes:
gcloud container clusters create CLUSTER_NAME \
--enable-shielded-nodes
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic su add_box Crea.
Nel riquadro di navigazione, in Cluster, fai clic su Sicurezza.
Seleziona la casella di controllo Abilita nodi GKE schermati.
Configura il cluster come preferisci.
Fai clic su Crea.
Consulta Creazione di un cluster per ulteriori dettagli sulla creazione dei cluster.
Abilitazione dei nodi GKE schermati in un cluster esistente
Puoi abilitare i nodi GKE schermati in un cluster esistente utilizzando Google Cloud CLI o la console Google Cloud.
Dopo aver abilitato i nodi GKE schermati, i nodi worker vengono ricreati come Shielded VM. I nodi del cluster vengono ricreati in modo graduale per ridurre al minimo i tempi di inattività.
gcloud
Quando aggiorni il cluster, specifica l'opzione --enable-shielded-nodes:
gcloud container clusters update CLUSTER_NAME \
--enable-shielded-nodes
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic sul nome del cluster da modificare.
In Sicurezza, nel campo Nodi GKE schermati, fai clic su edit Modifica nodi GKE schermati.
Seleziona la casella di controllo Abilita nodi GKE schermati.
Fai clic su Salva modifiche.
Verifica dell'abilitazione dei nodi GKE schermati
Verifichi che il cluster stia utilizzando nodi GKE schermati con Google Cloud CLI o la console Google Cloud.
gcloud
Descrivi il cluster:
gcloud container clusters describe CLUSTER_NAME
Se i nodi GKE schermati sono abilitati, l'output del comando includerà le seguenti righe:
shieldedNodes:
enabled: true
Console
Per verificare che un cluster stia utilizzando nodi GKE schermati:
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic sul nome del cluster da ispezionare.
In Sicurezza, nel campo Nodi GKE schermati, verifica che Nodi GKE schermati sia impostato su Abilitato.
Puoi anche monitorare l'integrità delle Shielded VM sottostanti dei tuoi nodi. Per la procedura, consulta Monitoraggio dell'integrità su Shielded VM schermate.
Disabilitazione dei nodi GKE schermati
Puoi disabilitare i nodi GKE schermati con Google Cloud CLI o la console Google Cloud.
gcloud
Quando aggiorni il cluster, specifica l'opzione --no-enable-shielded-nodes:
gcloud container clusters update CLUSTER_NAME \
--no-enable-shielded-nodes
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic sul nome del cluster da modificare.
In Sicurezza, nel campo Nodi GKE schermati, fai clic su edit Modifica nodi GKE schermati.
Deseleziona la casella di controllo Abilita nodi GKE schermati.
Fai clic su Salva modifiche.
Dopo aver disabilitato i nodi GKE schermati, i nodi vengono ricreati come normali VM non schermate. I nodi del cluster vengono ricreati in modo graduale per ridurre al minimo i tempi di inattività.
Integrità del nodo
Facoltativamente, puoi configurare i controlli di integrità dei nodi sui pool di nodi per fornire una protezione avanzata dei rootkit e dei bootkit per i nodi. I nodi GKE schermati, l'avvio protetto e il monitoraggio dell'integrità sono funzionalità indipendenti che possono essere abilitate o disabilitate singolarmente.
Avvio protetto
Avvio protetto è un'impostazione del pool di nodi disabilitata per impostazione predefinita su GKE perché i moduli kernel non firmati di terze parti non possono essere caricati quando è abilitato l'avvio protetto.
Se non utilizzi moduli kernel non firmati di terze parti, puoi abilitare l'avvio protetto con Google Cloud CLI o la console Google Cloud.
gcloud
Per abilitare l'avvio protetto durante la creazione di un cluster:
gcloud container clusters create CLUSTER_NAME \
--shielded-secure-boot
Per abilitare l'avvio protetto durante la creazione di un pool di nodi:
gcloud container node-pools create POOL_NAME \
--shielded-secure-boot
Avvio protetto è disattivato per impostazione predefinita. Puoi disabilitarlo esplicitamente durante la creazione di un cluster o di un pool di nodi con l'opzione --no-shielded-secure-boot.
Console
Per abilitare l'avvio protetto durante la creazione di un pool di nodi:
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic sul nome del cluster da modificare.
Fai clic su add_box Aggiungi pool di nodi.
Nel menu di navigazione, fai clic su Sicurezza.
Nella sezione Opzioni per nodi schermati, seleziona la casella di controllo Abilita l'avvio protetto.
Fai clic su Crea.
Monitoraggio dell'integrità
Il monitoraggio dell'integrità è un'impostazione del pool di nodi abilitata per impostazione predefinita su GKE. Puoi disabilitare il monitoraggio dell'integrità con Google Cloud CLI o la console Google Cloud.
gcloud
Per disabilitare il monitoraggio dell'integrità per i componenti di sistema durante la creazione di un cluster:
gcloud container clusters create CLUSTER_NAME \
--no-shielded-integrity-monitoring
Per disabilitare il monitoraggio dell'integrità per i componenti di sistema durante la creazione di un pool di nodi:
gcloud container node-pools create POOL_NAME \
--no-shielded-integrity-monitoring
Il monitoraggio dell'integrità è abilitato per impostazione predefinita. Puoi abilitarlo esplicitamente durante la creazione di un cluster o di un pool di nodi con l'opzione --shielded-integrity-monitoring.
Console
Per disabilitare il monitoraggio dell'integrità durante la creazione di un pool di nodi:
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic sul nome del cluster da modificare.
Fai clic su add_box Aggiungi pool di nodi.
Nel riquadro di navigazione, fai clic su Sicurezza.
In Opzioni per nodi schermati, deseleziona la casella di controllo Abilita il monitoraggio dell'integrità.