Usa nodos de GKE protegidos

En esta página, se muestra cómo usar nodos de GKE protegidos. Los nodos de GKE protegidos proporcionan una identidad y una integridad de nodo sólidas y verificables para aumentar la seguridad de los nodos de GKE.

Descripción general

Los nodos de GKE protegidos se compilan sobre las VM protegidas de Compute Engine. Los nodos de GKE protegidos proporcionan los siguientes elementos:

Verificación de procedencia del SO de nodos
Una verificación que se puede comprobar mediante la criptografía para asegurarse de que el SO del nodo se ejecute en una máquina virtual en un centro de datos de Google.
Protección mejorada de rootkit y bootkit

Los nodos de GKE protegidos ofrecen protección contra rootkits y bootkits que ganan persistencia en el nodo, mediante lo siguiente:

  • inicio medido y seguro
  • módulo de plataforma de confianza virtual (vTPM)
  • firmware UEFI
  • supervisión de integridad

Consulta la documentación de VM protegida para obtener más detalles.

Los nodos de GKE protegidos se pueden usar con GPU.

No hay costo adicional para ejecutar los nodos de GKE protegidos. Sin embargo, los nodos de GKE protegidos generan alrededor de 0.5 KB más de registros durante el inicio que los nodos estándar. Consulta la página de precios de Stackdriver Logging para obtener más información.

Disponibilidad

  • Los nodos de GKE protegidos están disponibles en GKE 1.13.6-gke.0 y posteriores.
  • Los nodos de GKE protegidos están disponibles en todas las zonas y regiones.
  • Los nodos de GKE protegidos se pueden usar con Container-Optimized OS (COS), COS con containerd y con imágenes de nodo de Ubuntu.

Antes de comenzar

Sigue estos pasos a fin de prepararte para esta tarea:

  • Asegúrate de que habilitaste la API de Google Kubernetes Engine.
  • Habilitar la API de Google Kubernetes Engine
  • Asegúrate de que instalaste el SDK de Cloud.
  • Establece tu ID del proyecto predeterminado:
    gcloud config set project [PROJECT_ID]
  • Si trabajas con clústeres zonales, establece tu zona de procesamiento predeterminada:
    gcloud config set compute/zone [COMPUTE_ZONE]
  • Si trabajas con clústeres regionales, establece tu región de procesamiento predeterminada:
    gcloud config set compute/region [COMPUTE_REGION]
  • Actualiza gcloud a la versión más reciente:
    gcloud components update

Habilita nodos de GKE protegidos en un clúster nuevo

Puedes usar la herramienta de línea de comandos de gcloud o Google Cloud Platform Console para crear un clúster nuevo con nodos de GKE protegidos.

gcloud

Cuando creas un clúster nuevo, especifica la opción --enable-shielded-nodes:

gcloud beta container clusters create [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. Dirígete a la página Crear clúster.
  2. Expande la sección “Disponibilidad, redes, seguridad y características adicionales”.
  3. En la sección de seguridad (que se muestra a continuación), selecciona la casilla de verificación “Habilitar nodos de GKE protegidos” (Enable Shielded GKE Nodes).

Captura de pantalla de la interfaz Crear clúster

Consulta la documentación sobre la creación de clústeres para obtener más detalles sobre cómo crear clústeres.

Habilita nodos de GKE protegidos en un clúster existente

Puedes usar la herramienta de línea de comandos de gcloud o Google Cloud Platform Console para habilitar los nodos de GKE protegidos en un clúster existente.

Después de que habilitas los nodos de GKE protegidos, el plano de control y los nodos se vuelven a crear como VM protegidas. El plano de control no está disponible mientras se vuelve a crear. Los nodos del clúster se recrean de forma continua para minimizar el tiempo de inactividad.

gcloud

Cuando actualices el clúster, especifica la opción --enable-shielded-nodes:

gcloud beta container clusters update [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. Navega a la página de edición de clústeres.
  2. Selecciona Habilitado en el menú de nodos de GKE protegidos.

Captura de pantalla de la interfaz Editar clústeres

Configuración opcional

Inicio seguro

El inicio seguro está inhabilitado de forma predeterminada en GKE porque los módulos de kernel no firmados de terceros no se pueden cargar cuando está habilitado.

Si no usas módulos de kernel no firmados de terceros, puedes habilitar el inicio seguro con la herramienta de línea de comandos de gcloud o Google Cloud Platform Console:

gcloud

Para habilitar el inicio seguro cuando crees un clúster, haz lo siguiente:

gcloud beta container cluster create [CLUSTER_NAME] --shielded-secure-boot

Para habilitar el inicio seguro cuando crees un grupo de nodos, haz lo siguiente:

gcloud beta container node-pool create [POOL_NAME] --shielded-secure-boot

El inicio seguro está inhabilitado de forma predeterminada. Puedes inhabilitarlo de manera explícita cuando crees un clúster o grupo de nodos con la opción --no-shielded-secure-boot.

Console

Para habilitar el inicio seguro cuando crees un grupo de nodos, haz lo siguiente:

  1. Navega a la página de detalles del clúster.
  2. En la parte superior de la página, haz clic en Agregar grupo de nodos.
  3. En la sección Opciones protegidas, debajo del encabezado Seguridad, selecciona la casilla de verificación Inicio seguro (Secure boot) (que se muestra a continuación).

Captura de pantalla de la interfaz Agregar grupo de nodos

Supervisión de integridad del sistema

La supervisión de integridad está habilitada de forma predeterminada en GKE. Puedes inhabilitar la supervisión de integridad con la herramienta de línea de comandos de gcloud o Google Cloud Platform Console:

gcloud

Para inhabilitar la supervisión de integridad de los componentes del sistema cuando crees un clúster, haz lo siguiente:

gcloud beta container cluster create [CLUSTER_NAME] --no-shielded-integrity-monitoring

Para inhabilitar la supervisión de integridad de los componentes del sistema cuando crees un grupo de nodos, haz lo siguiente:

gcloud beta container node-pool create [POOL_NAME] --no-shielded-integrity-monitoring

La supervisión de la integridad está habilitada de forma predeterminada. Puedes habilitarla de forma explícita cuando crees un clúster o grupo de nodos con la opción --shielded-integrity-monitoring.

Console

Para inhabilitar la supervisión de integridad cuando crees un grupo de nodos, haz lo siguiente:

  1. Navega a la página de detalles del clúster.
  2. En la parte superior de la página, haz clic en Agregar grupo de nodos.
  3. En la sección Opciones protegidas, bajo el encabezado Seguridad, desmarca la casilla de verificación Supervisión de integridad (Integrity monitoring) (que se muestra a continuación).

Captura de pantalla de la interfaz Agregar grupo de nodos

Verifica que los nodos de GKE protegidos estén habilitados

Puedes usar la herramienta de línea de comandos de gcloud o Google Cloud Platform Console para verificar que el clúster use nodos de GKE protegidos.

gcloud

Describe el clúster:

gcloud beta container clusters describe [CLUSTER_NAME]

Si los nodos de GKE protegidos están habilitados, el resultado del comando incluirá las siguientes líneas:

shieldedNodes:
enabled: true

Console

  1. Haz clic en el nombre del clúster en la lista de clústeres en tu proyecto para dirigirte a la pestaña de detalles del clúster.
  2. En la lista de detalles, verifica que los nodos de GKE protegidos estén habilitados.

Captura de pantalla de la lista de detalles del clúster

También puedes supervisar la integridad de las VM protegidas subyacentes de tus nodos. Consulta la página sobre cómo supervisar la integridad de instancias de VM protegidas para realizar el procedimiento.

Inhabilita los nodos de GKE protegidos

Puedes inhabilitar los nodos de GKE protegidos con la herramienta de línea de comandos de gcloud o Google Cloud Platform Console.

gcloud

Cuando actualices el clúster, especifica la opción --no-enable-shielded-nodes:

gcloud beta container clusters update [CLUSTER_NAME] --no-enable-shielded-nodes

Console

  1. Navega a la página de edición de clústeres.
  2. Selecciona Inhabilitado en el menú de nodos de GKE protegidos.

Captura de pantalla de la interfaz Editar clústeres

Después de que inhabilitas los nodos de GKE protegidos, el plano de control y los nodos se vuelven a crear como VM normales no protegidas. El plano de control no está disponible mientras se vuelve a crear. Los nodos del clúster se recrean de forma continua para minimizar el tiempo de inactividad.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Kubernetes Engine