보안 GKE 노드 사용

이 페이지에서는 보안 GKE 노드를 사용하는 방법을 보여줍니다. 보안 GKE 노드는 강력하고 검증 가능한 노드 ID와 무결성을 제공하여 GKE 노드의 보안을 강화합니다.

개요

보안 GKE 노드는 Compute Engine 보안 VM을 기반으로 구축됩니다. 보안 GKE 노드는 다음을 제공합니다.

노드 OS 출처 확인
노드 OS가 Google 데이터 센터의 가상 머신에서 실행 중인지 확인하기 위해 암호로 확인할 수 있는 검사
향상된 루트키트 및 부트키트 보호

보안 GKE 노드는 다음을 사용하여 노드에서 지속성을 갖는 루트키트와 부트키트를 보호합니다.

  • 안전하고 신중한 부팅
  • Virtual Trusted Platform Module(vTPM)
  • UEFI 펌웨어
  • 무결성 모니터링

자세한 내용은 보안 VM 문서를 참조하세요.

보안 GKE 노드는 GPU에서 사용할 수 있습니다.

보안 GKE 노드를 실행하는 데 추가 비용이 들지 않습니다. 하지만 보안 GKE 노드는 표준 노드보다 시작 시 로그가 약 0.5KB 더 많이 생성됩니다. 자세한 내용은 Stackdriver Logging 가격 책정 페이지를 참조하세요.

가용성

  • 보안 GKE 노드는 GKE 1.13.6-gke.0 이상에서 사용할 수 있습니다.
  • 보안 GKE 노드는 모든 영역 및 리전에서 사용할 수 있습니다.
  • 보안 GKE 노드는 컨테이너 최적화 OS(COS), 컨테이너가 있는 COS, Ubuntu 노드 이미지와 함께 사용할 수 있습니다.

시작하기 전에

이 작업을 준비하려면 다음 단계를 완료하세요.

  • Google Kubernetes Engine API가 사용 설정되었는지 확인합니다.
  • Google Kubernetes Engine API 사용 설정
  • Cloud SDK가 설치되었는지 확인합니다.
  • 기본 프로젝트 ID를 설정합니다.
    gcloud config set project [PROJECT_ID]
  • 영역 클러스터를 사용하는 경우 기본 컴퓨팅 영역을 설정합니다.
    gcloud config set compute/zone [COMPUTE_ZONE]
  • 리전 클러스터를 사용하는 경우 기본 컴퓨팅 리전을 설정합니다.
    gcloud config set compute/region [COMPUTE_REGION]
  • gcloud를 최신 버전으로 업데이트합니다.
    gcloud components update

새 클러스터에서 보안 GKE 노드 사용 설정하기

gcloud 명령줄 도구 또는 Google Cloud Platform Console을 사용하여 보안 GKE 노드가 있는 새 클러스터를 만들 수 있습니다.

gcloud

새로운 클러스터를 만들 때 --enable-shielded-nodes 옵션을 지정합니다.

gcloud beta container clusters create [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. 클러스터 만들기 페이지로 이동합니다.
  2. '가용성, 네트워킹, 보안 및 추가 기능' 섹션을 펼칩니다.
  3. 보안 섹션(아래 그림)에서 'Enable Shielded GKE Nodes(보안 GKE 노드 사용 설정)' 체크박스를 선택합니다.

클러스터 만들기 인터페이스의 스크린샷

클러스터 만들기에 대한 자세한 내용은 클러스터 만들기 문서를 참조하세요.

기존 클러스터에서 보안 GKE 노드 사용 설정하기

gcloud 명령줄 도구 또는 Google Cloud Platform Console을 사용하여 기존 클러스터에서 보안 GKE 노드를 사용 설정할 수 있습니다.

보안 GKE 노드를 사용 설정하면 제어 영역과 노드가 보안 VM로 다시 생성됩니다. 제어 영역은 다시 생성되는 동안 사용할 수 없습니다. 클러스터 노드는 다운타임을 최소화하기 위해 순환 방식으로 다시 생성됩니다.

gcloud

클러스터를 업데이트할 때 --enable-shielded-nodes 옵션을 지정합니다.

gcloud beta container clusters update [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. 클러스터 수정 페이지로 이동합니다.
  2. 보안 GKE 노드 메뉴에서 사용 설정됨을 선택합니다.

클러스터 수정 인터페이스의 스크린샷

선택적 구성

안전한 부팅

안전한 부팅이 사용 설정되면 타사의 서명되지 않은 커널 모듈을 로드할 수 없으므로 GKE에서는 안전한 부팅이 기본적으로 사용 중지됩니다.

타사의 서명되지 않은 커널 모듈을 사용하지 않는 경우에는 gcloud 명령줄 도구 또는 Google Cloud Platform Console을 사용하여 안전한 부팅을 사용 설정할 수 있습니다.

gcloud

클러스터를 만들 때 안전한 부팅을 사용 설정하려면 다음 명령어를 사용하세요.

gcloud beta container cluster create [CLUSTER_NAME] --shielded-secure-boot

노드 풀을 만들 때 안전한 부팅을 사용 설정하려면 다음 명령어를 사용하세요.

gcloud beta container node-pool create [POOL_NAME] --shielded-secure-boot

안전한 부팅은 기본적으로 사용 중지됩니다. --no-shielded-secure-boot 옵션을 사용하여 클러스터 또는 노드 풀을 만들 때 이를 명시적으로 사용 중지할 수 있습니다.

Console

노드 풀을 만들 때 안전한 부팅을 사용 설정하려면 다음 안내를 따르세요.

  1. 클러스터 세부정보 페이지로 이동합니다.
  2. 페이지 상단에서 노드 풀 추가를 클릭합니다.
  3. 보안 옵션 섹션의 보안 제목 아래에서 안전한 부팅 체크박스를 선택합니다(아래 그림 참조).

노드 풀 추가 인터페이스의 스크린샷

시스템 무결성 모니터링

무결성 모니터링은 GKE에서 기본적으로 사용 설정됩니다. gcloud 명령줄 도구 또는 Google Cloud Platform Console에서 무결성 모니터링을 사용 중지할 수 있습니다.

gcloud

클러스터를 만들 때 시스템 구성요소의 무결성 모니터링을 사용 중지하려면 다음 명령어를 사용하세요.

gcloud beta container cluster create [CLUSTER_NAME] --no-shielded-integrity-monitoring

노드 풀을 만들 때 시스템 구성요소의 무결성 모니터링을 사용 중지하려면 다음 명령어를 사용하세요.

gcloud beta container node-pool create [POOL_NAME] --no-shielded-integrity-monitoring

무결성 모니터링은 기본적으로 사용 설정됩니다. --shielded-integrity-monitoring 옵션을 사용하여 클러스터 또는 노드 풀을 만들 때 이를 명시적으로 사용 설정할 수 있습니다.

Console

노드 풀을 만들 때 무결성 모니터링을 사용 중지하려면 다음 안내를 따르세요.

  1. 클러스터 세부정보 페이지로 이동합니다.
  2. 페이지 상단에서 노드 풀 추가를 클릭합니다.
  3. 보안 옵션 섹션의 보안 제목 아래에서 무결성 모니터링 체크박스의 선택을 해제합니다(아래 그림 참조).

노드 풀 추가 인터페이스의 스크린샷

보안 GKE 노드가 사용 설정되어 있는지 확인

gcloud 명령줄 도구 또는 Google Cloud Platform Console을 사용하여 클러스터가 보안 GKE 노드를 사용 중인지 확인할 수 있습니다.

gcloud

클러스터를 설명합니다.

gcloud beta container clusters describe [CLUSTER_NAME]

보안 GKE 노드가 사용 설정되면 명령어의 결과에 다음과 같은 줄이 포함됩니다.

shieldedNodes:
enabled: true

Console

  1. 프로젝트의 클러스터 목록에서 클러스터의 이름을 클릭하여 클러스터 세부정보 탭으로 이동합니다.
  2. 세부정보 목록에서 보안 GKE 노드가 사용 설정되어 있는지 확인합니다.

클러스터 세부정보의 스크린샷

노드의 기본 보안 VM의 무결성을 모니터링할 수도 있습니다. 모니터링 절차는 보안 VM 인스턴스의 무결성 모니터링을 참조하세요.

보안 GKE 노드 사용 중지

gcloud 명령줄 도구 또는 Google Cloud Platform Console을 사용하여 보안 GKE 노드를 사용 중지할 수 있습니다.

gcloud

클러스터를 업데이트할 때 --no-enable-shielded-nodes 옵션을 지정합니다.

gcloud beta container clusters update [CLUSTER_NAME] --no-enable-shielded-nodes

Console

  1. 클러스터 수정 페이지로 이동합니다.
  2. 보안 GKE 노드 메뉴에서 사용 중지됨을 선택합니다.

클러스터 수정 인터페이스의 스크린샷

보안 GKE 노드를 사용 중지하면 제어 영역과 노드가 일반 비보안 VM으로 다시 생성됩니다. 제어 영역은 다시 생성되는 동안 사용할 수 없습니다. 클러스터 노드는 다운타임을 최소화하기 위해 순환 방식으로 다시 생성됩니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Kubernetes Engine 문서