Utiliser des nœuds GKE protégés

Cette page vous explique comment utiliser les nœuds GKE protégés. Les nœuds GKE protégés fournissent une identité et une intégrité solides et vérifiables qui permettent de renforcer la sécurité des nœuds GKE.

Présentation

Les nœuds GKE protégés s'appuient sur les VM protégées Compute Engine. Les nœuds GKE protégés offrent les avantages suivants :

Contrôle de la provenance du système d'exploitation du nœud
Contrôle vérifiable de manière chiffrée pour s'assurer que le système d'exploitation du nœud s'exécute sur une machine virtuelle dans un centre de données Google.
Protection améliorée du rootkit et du bootkit

Les nœuds GKE protégés se prémunissent contre les rootkits et les bootkits qui gagnent en persistance dans le nœud, à l'aide des éléments suivants :

  • Démarrage sécurisé et mesuré
  • Module vTPM (Virtual Trusted Platform Module)
  • Micrologiciel UEFI
  • Surveillance de l'intégrité

Pour en savoir plus, reportez-vous à la documentation sur les VM protégées.

Les nœuds GKE protégés peuvent être utilisés avec les GPU.

L'exécution de nœuds GKE protégés n'entraîne aucun coût supplémentaire. Toutefois, les nœuds GKE protégés génèrent environ 0,5 Ko de journaux supplémentaires au démarrage comparés aux nœuds standards. Pour en savoir plus, consultez la section Tarifs de Stackdriver Logging.

Disponibilité

  • Les nœuds GKE protégés sont disponibles dans GKE 1.13.6-gke.0 et versions ultérieures.
  • Les nœuds GKE protégés sont disponibles dans toutes les zones et dans toutes les régions.
  • Les nœuds GKE protégés peuvent être utilisés avec COS (Container-Optimized OS), les conteneurs COS et les images de nœuds Ubuntu.

Avant de commencer

Pour préparer ce que nous allons réaliser, procédez comme suit :

  • Assurez-vous d'avoir activé l'API Google Kubernetes Engine.
  • Activer l'API Google Kubernetes Engine
  • Assurez-vous d'avoir installé le SDK Cloud.
  • Définissez votre ID de projet par défaut :
    gcloud config set project [PROJECT_ID]
  • Si vous utilisez des clusters zonaux, définissez votre zone de calcul par défaut :
    gcloud config set compute/zone [COMPUTE_ZONE]
  • Si vous utilisez des clusters régionaux, définissez votre région de calcul par défaut :
    gcloud config set compute/region [COMPUTE_REGION]
  • Installez la dernière mise à jour de gcloud :
    gcloud components update

Activer les nœuds GKE protégés dans un nouveau cluster

Vous pouvez créer un cluster avec des nœuds GKE protégés à l'aide de l'outil de ligne de commande gcloud ou de la console Google Cloud Platform.

gcloud

Lors de la création d'un cluster, spécifiez l'option --enable-shielded-nodes :

gcloud beta container clusters create [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. Accédez à la page Créer un cluster.
  2. Développez la section "Disponibilité, mise en réseau, sécurité et autres fonctionnalités".
  3. Dans la section "Security" (Sécurité) ci-dessous, cochez la case "Enable Shielded GKE Nodes" (Activer les nœuds GKE protégés).

Capture d'écran de l'interface de création du cluster

Pour en savoir plus, consultez la documentation relative à la création des clusters.

Activer les nœuds GKE protégés dans un cluster existant

Vous pouvez activer les nœuds GKE protégés dans un cluster existant à l'aide de l'outil de ligne de commande gcloud ou de la console Google Cloud Platform.

Après avoir activé les nœuds GKE protégés, le plan de contrôle et les nœuds sont recréés en tant que VM protégées. Le plan de contrôle n'est pas disponible lorsqu'il est en cours de recréation. Les nœuds de cluster sont recréés de façon progressive afin de minimiser les temps d'arrêt.

gcloud

Lors de la mise à jour du cluster, spécifiez l'option --enable-shielded-nodes :

gcloud beta container clusters update [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. Accédez à la page "Modifier des clusters".
  2. Sélectionnez Enabled (Activé) dans le menu "Shielded GKE Nodes" (Nœuds GKE protégés).

Capture d'écran de l'interface de modification du cluster

Configurations facultatives

Démarrage sécurisé

Le démarrage sécurisé est désactivé par défaut sur GKE, car les modules tiers non signés du noyau ne peuvent pas être chargés lorsque le démarrage sécurisé est activé.

Si vous n'utilisez pas les modules tiers non signés du noyau, vous pouvez activer le démarrage sécurisé à l'aide de l'outil de ligne de commande gcloud ou de la console Google Cloud Platform :

gcloud

Pour activer le démarrage sécurisé lors de la création d'un cluster, procédez comme suit :

gcloud beta container cluster create [CLUSTER_NAME] --shielded-secure-boot

Pour activer le démarrage sécurisé lors de la création d'un pool de nœuds, procédez comme suit :

gcloud beta container node-pool create [POOL_NAME] --shielded-secure-boot

Le démarrage sécurisé est désactivé par défaut. Vous pouvez le désactiver explicitement lors de la création d'un cluster ou d'un pool de nœuds à l'aide de l'option --no-shielded-secure-boot.

Console

Pour activer le démarrage sécurisé lors de la création d'un pool de nœuds, procédez comme suit :

  1. Accédez à la page "Informations sur le cluster".
  2. En haut de la page, cliquez sur Ajouter un pool de nœuds.
  3. Dans la section "Shielded options" (Options protégées) illustrée ci-dessous, sous l'en-tête "Security" (Sécurité), cochez la case Secure boot (Démarrage sécurisé).

Capture d'écran de l'interface d'ajout de pool de nœuds

Surveillance de l'intégrité du système

La surveillance de l'intégrité est activée par défaut sur GKE. Vous pouvez la désactiver à l'aide de l'outil de ligne de commande gcloud ou de la console Google Cloud Platform :

gcloud

Pour désactiver la surveillance de l'intégrité des composants système lors de la création d'un cluster, procédez comme suit :

gcloud beta container cluster create [CLUSTER_NAME] --no-shielded-integrity-monitoring

Pour désactiver la surveillance de l'intégrité des composants système lors de la création d'un pool de nœuds, procédez comme suit :

gcloud beta container node-pool create [POOL_NAME] --no-shielded-integrity-monitoring

La surveillance de l'intégrité est activée par défaut. Vous pouvez l'activer explicitement lors de la création d'un cluster ou d'un pool de nœuds à l'aide de l'option --shielded-integrity-monitoring.

Console

Pour désactiver la surveillance de l'intégrité lors de la création d'un pool de nœuds, procédez comme suit :

  1. Accédez à la page "Informations sur le cluster".
  2. En haut de la page, cliquez sur Ajouter un pool de nœuds.
  3. Dans la section "Shielded options" (Options protégées) illustrée ci-dessous, sous l'en-tête "Security" (Sécurité), cochez la case Integrity monitoring (Surveillance de l'intégrité).

Capture d'écran de l'interface d'ajout de pool de nœuds

Vérifier que les nœuds GKE protégés sont activés

Vous pouvez vérifier que votre cluster utilise des nœuds GKE protégés à l'aide de l'outil de ligne de commande gcloud ou de la console Google Cloud Platform.

gcloud

Décrivez le cluster :

gcloud beta container clusters describe [CLUSTER_NAME]

Si les nœuds GKE protégés sont activés, le résultat de la commande inclut les lignes suivantes :

shieldedNodes:
enabled: true

Console

  1. Accédez à l'onglet Informations sur le cluster en cliquant sur le nom du cluster dans la liste des clusters de votre projet.
  2. Dans la liste d'informations, vérifiez que les nœuds GKE protégés sont activés.

Capture d'écran de la liste d'informations du cluster

Vous pouvez également surveiller l'intégrité des VM protégées sous-jacentes de vos nœuds. Pour en savoir plus sur cette procédure, reportez-vous à la section Surveiller l'intégrité sur des instances de VM protégées.

Désactiver des nœuds GKE protégés

Vous pouvez désactiver les nœuds GKE protégés à l'aide de l'outil de ligne de commande gcloud ou de la console Google Cloud Platform.

gcloud

Lors de la mise à jour du cluster, spécifiez l'option --no-enable-shielded-nodes :

gcloud beta container clusters update [CLUSTER_NAME] --no-enable-shielded-nodes

Console

  1. Accédez à la page "Modifier des clusters".
  2. Sélectionnez Disabled (Désactivé) dans le menu "Shielded GKE Nodes" (Nœuds GKE protégés).

Capture d'écran de l'interface de modification du cluster

Après avoir désactivé les nœuds GKE protégés, le plan de contrôle et les nœuds sont recréés en tant que VM non protégées. Le plan de contrôle n'est pas disponible lorsqu'il est en cours de recréation. Les nœuds de cluster sont recréés de façon progressive afin de minimiser les temps d'arrêt.

Étapes suivantes

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation Kubernetes Engine