En esta página, se muestra cómo usar la función de nodos de GKE protegidos. Los nodos de GKE protegidos proporcionan una identidad y una integridad de nodo sólidas y verificables para aumentar la seguridad de los nodos de Google Kubernetes Engine (GKE).
Acerca de los nodos de GKE protegidos
Los nodos de GKE protegidos se compilan en las VM protegidas de Compute Engine. Sin los nodos de GKE protegidos, un atacante puede aprovechar una vulnerabilidad en un pod para robar credenciales de arranque y cambiar la identidad de los nodos del clúster, lo que brinda a los atacantes acceso a secretos de clúster. Cuando los nodos de GKE protegidos están habilitados, el plano de control de GKE verifica de manera criptográfica que se cumpla lo siguiente:
- Cada nodo del clúster es una máquina virtual que se ejecuta en el centro de datos de Google.
- Cada nodo es parte del grupo de instancias administrado (MIG) que se aprovisiona para el clúster.
- Kubelet recibe un certificado para el nodo en el que se está ejecutando.
Esto limita la capacidad de un atacante de robar la identidad de un nodo del clúster, incluso si puede robar credenciales de arranque del nodo.
De manera opcional, puedes configurar verificaciones de integridad de nodos en grupos de nodos a fin de proporcionar protección mejorada ante rootkit y bootkit para tus nodos. Esta configuración del grupo de nodos es independiente de los nodos de GKE protegidos y funcionará incluso si los nodos de GKE protegidos están inhabilitados en el clúster.
Para obtener más información, consulta la documentación de VM protegida.
No hay costo adicional por ejecutar los nodos de GKE protegidos. Sin embargo, los nodos de GKE protegidos generan alrededor de 0.5 KB más de registros durante el inicio que los nodos estándar. Consulta la página de precios de Cloud Logging para obtener más detalles.
Disponibilidad
- Los nodos de GKE protegidos están disponibles en GKE versión 1.13.6-gke.0 y posteriores.
- Los nodos de GKE protegidos están disponibles en todas las zonas y regiones.
- Los nodos de GKE protegidos se pueden usar con todas las imágenes de nodo.
- Los nodos de GKE protegidos se pueden usar con GPU.
Antes de comenzar
Antes de comenzar, asegúrate de haber realizado las siguientes tareas:
- Habilita la API de Kubernetes Engine de Google. Habilitar la API de Kubernetes Engine de Google
- Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta
gcloud components update
para obtener la versión más reciente.
Habilita nodos de GKE protegidos en un clúster nuevo
Puedes crear un clúster nuevo con nodos de GKE protegidos habilitados mediante la CLI de gcloud o la consola de Google Cloud.
gcloud
Cuando creas un clúster nuevo, especifica la opción --enable-shielded-nodes
:
gcloud container clusters create CLUSTER_NAME \
--enable-shielded-nodes
Console
Ve a la página de Google Kubernetes Engine en la consola de Google Cloud.
Haz clic en add_box Crear.
En el panel de navegación, en Clúster, haz clic en Seguridad.
Selecciona la casilla de verificación Habilitar nodos de GKE protegidos.
Configura tu clúster como desees.
Haga clic en Crear.
Consulta Crea un clúster para obtener más detalles sobre la creación de clústeres
Habilita nodos de GKE protegidos en un clúster existente
Puedes habilitar los nodos de GKE protegidos en un clúster existente mediante la CLI de Google Cloud o la consola de Google Cloud.
Después de que habilitas los nodos de GKE protegidos, el plano de control y los nodos se vuelven a crear como VM protegidas. El plano de control no está disponible mientras se vuelve a crear. Los nodos del clúster se recrean de forma continua para minimizar el tiempo de inactividad.
gcloud
Cuando actualices el clúster, especifica la opción --enable-shielded-nodes
:
gcloud container clusters update CLUSTER_NAME \
--enable-shielded-nodes
Console
Ve a la página de Google Kubernetes Engine en la consola de Google Cloud.
Haz clic en el nombre del clúster que deseas modificar.
En Seguridad, en el campo Nodos de GKE protegidos, haz clic en edit Editar nodos de GKE protegidos.
Selecciona la casilla de verificación Habilitar nodos de GKE protegidos.
Haz clic en Save Changes.
Verifica que los nodos de GKE protegidos estén habilitados
Debes verificar que tu clúster use nodos de GKE protegidos mediante la CLI de Google Cloud o la consola de Google Cloud.
gcloud
Describe el clúster:
gcloud container clusters describe CLUSTER_NAME
Si los nodos de GKE protegidos están habilitados, el resultado del comando incluirá las siguientes líneas:
shieldedNodes:
enabled: true
Console
Para verificar que un clúster use nodos de GKE protegidos, sigue estos pasos:
Ve a la página de Google Kubernetes Engine en la consola de Google Cloud:
Haz clic en el nombre del clúster que deseas inspeccionar.
En Seguridad, en el campo Nodos de GKE protegidos, verifica que los nodos de GKE protegidos estén habilitados.
También puedes supervisar la integridad de las VM protegidas subyacentes de tus nodos. Consulta la página sobre cómo supervisar la integridad de instancias de VM protegidas para realizar el procedimiento.
Inhabilita los nodos de GKE protegidos
Puedes inhabilitar los nodos de GKE protegidos mediante la CLI de Google Cloud o la consola de Google Cloud.
gcloud
Cuando actualices el clúster, especifica la opción --no-enable-shielded-nodes
:
gcloud container clusters update CLUSTER_NAME \
--no-enable-shielded-nodes
Console
Ve a la página de Google Kubernetes Engine en la consola de Google Cloud.
Haz clic en el nombre del clúster que deseas modificar.
En Seguridad, en el campo Nodos de GKE protegidos, haz clic en edit Editar nodos de GKE protegidos.
Desmarca la casilla de verificación Habilitar nodos de GKE protegidos.
Haz clic en Save Changes.
Después de que inhabilitas los nodos de GKE protegidos, el plano de control y los nodos se vuelven a crear como VM normales no protegidas. El plano de control no está disponible mientras se vuelve a crear. Los nodos del clúster se vuelven a crear de forma progresiva para minimizar el tiempo de inactividad.
Integridad del nodo
El inicio seguro y la supervisión de integridad son opciones de configuración de grupos de nodos que se pueden usar junto con los nodos de GKE protegidos. Los nodos de GKE protegidos, el inicio seguro y la supervisión de integridad son características independientes que se pueden habilitar o inhabilitar por separado.
Inicio seguro
El inicio seguro es una configuración del grupo de nodos que está inhabilitada de forma predeterminada en GKE porque los módulos de kernel sin firma de terceros no se pueden cargar cuando está habilitado.
Si no usas módulos de kernel de terceros sin firma, puedes habilitar el inicio seguro mediante la CLI de Google Cloud o la consola de Google Cloud.
gcloud
Para habilitar el inicio seguro cuando crees un clúster, haz lo siguiente:
gcloud container clusters create CLUSTER_NAME \
--shielded-secure-boot
Para habilitar el inicio seguro cuando crees un grupo de nodos, haz lo siguiente:
gcloud container node-pools create POOL_NAME \
--shielded-secure-boot
El inicio seguro está inhabilitado de forma predeterminada. Puedes inhabilitarlo de manera explícita cuando crees un clúster o un grupo de nodos con la opción --no-shielded-secure-boot
.
Console
Para habilitar el inicio seguro cuando crees un grupo de nodos, haz lo siguiente:
Ve a la página de Google Kubernetes Engine en la consola de Google Cloud:
Haz clic en el nombre del clúster que deseas modificar.
Haz clic en add_box Agregar grupo de nodos.
En el menú de navegación, haz clic en Seguridad.
En Opciones protegidas, selecciona la casilla de verificación Habilitar inicio seguro.
Haga clic en Crear.
Supervisión de integridad
La supervisión de integridad es una configuración del grupo de nodos que está habilitada de forma predeterminada en GKE. Puedes inhabilitar la supervisión de integridad mediante Google Cloud CLI o la consola de Google Cloud.
gcloud
Para inhabilitar la supervisión de integridad de los componentes del sistema cuando crees un clúster, haz lo siguiente:
gcloud container clusters create CLUSTER_NAME \
--no-shielded-integrity-monitoring
Para inhabilitar la supervisión de integridad de los componentes del sistema cuando crees un grupo de nodos, haz lo siguiente:
gcloud container node-pools create POOL_NAME \
--no-shielded-integrity-monitoring
La supervisión de la integridad está habilitada de forma predeterminada. Puedes habilitarla de forma explícita cuando crees un clúster o grupo de nodos con la opción --shielded-integrity-monitoring
.
Console
Para inhabilitar la supervisión de integridad cuando crees un grupo de nodos, haz lo siguiente:
Ve a la página de Google Kubernetes Engine en la consola de Google Cloud:
Haz clic en el nombre del clúster que deseas modificar.
Haz clic en add_box Agregar grupo de nodos.
En el panel de navegación, haz clic en Seguridad.
En Opciones protegidas, desmarca la casilla de verificación Habilitar supervisión de integridad.