Como usar os nós protegidos do GKE

Nesta página, mostramos como usar os nós protegidos do GKE. Os nós protegidos do GKE fornecem integridade e identidade forte e verificável de nós para aumentar a segurança dos nós do GKE.

Visão geral

Os nós protegidos do GKE são criados com base nas VMs protegidas do Compute Engine. Os nós protegidos do GKE oferecem:

Verificação da procedência do SO do nó
Uma verificação que pode ser confirmada por criptografia para garantir que o SO do nó esteja em execução em uma máquina virtual em um data center do Google.
Proteção aprimorada do rootkit e do bootkit

Os nós protegidos do GKE protegem contra rootkits e bootkits que ganham persistência no nó usando:

  • inicialização segura e medida
  • módulo de plataforma confiável virtual (vTPM, na sigla em inglês)
  • firmware UEFI
  • monitoramento de integridade

Consulte mais detalhes na documentação da VM protegida.

Os nós protegidos do GKE podem ser usados com GPUs.

Não há custo extra para executar nós protegidos do GKE. No entanto, eles geram cerca de 0,5 KB a mais de registros na inicialização do que os nós padrão. Consulte mais detalhes na página de preços do Stackdriver Logging.

Disponibilidade

  • Os nós protegidos do GKE estão disponíveis no GKE 1.13.6-gke.0 e superior.
  • Os nós protegidos do GKE estão disponíveis em todas as zonas e regiões.
  • Os nós protegidos do GKE podem ser usados com imagens de nós do Container-Optmized OS (COS), COS com containerd e Ubuntu.

Antes de começar

Execute as etapas a seguir para se preparar para a tarefa:

  • Verifique se você ativou a API Google Kubernetes Engine.
  • Ativar a API Google Kubernetes Engine
  • Verifique se o SDK do Cloud está instalado.
  • Defina o ID do projeto padrão:
    gcloud config set project [PROJECT_ID]
  • Se você estiver trabalhando com clusters zonais, defina a zona padrão do Compute:
    gcloud config set compute/zone [COMPUTE_ZONE]
  • Se você estiver trabalhando com clusters regionais, defina a região padrão do Compute:
    gcloud config set compute/region [COMPUTE_REGION]
  • Atualize gcloud para a versão mais recente:
    gcloud components update

Como ativar nós protegidos do GKE em um novo cluster

É possível usar a ferramenta de linha de comando gcloud ou o Console do Google Cloud Platform para criar um novo cluster com nós protegidos do GKE.

gcloud

Ao criar um novo cluster, especifique a opção --enable-shielded-nodes:

gcloud beta container clusters create [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. Navegue até a página Criar cluster.
  2. Expanda a seção "Disponibilidade, rede, segurança e recursos extras".
  3. Na seção de segurança, conforme imagem abaixo, marque a caixa de seleção "Ativar nós protegidos do GKE".

Captura de tela da interface de criação de clusters

Consulte a seção documentação sobre criação de clusters para mais detalhes.

Como ativar nós protegidos do GKE em um cluster atual

Use a ferramenta de linha de comando gcloud ou o Console do Google Cloud Platform para ativar os nós protegidos do GKE em um cluster atual.

Depois de ativar os nós protegidos do GKE, o plano de controle e os nós são recriados como VMs protegidas. O plano de controle não fica disponível enquanto está sendo recriado. Os nós do cluster são recriados de maneira contínua para minimizar a inatividade.

gcloud

Ao atualizar o cluster, especifique a opção --enable-shielded-nodes:

gcloud beta container clusters update [CLUSTER_NAME] --enable-shielded-nodes

Console

  1. Navegue até a página de edição de clusters.
  2. Selecione Ativado no menu "Nós protegidos do GKE".

Captura de tela da interface de edição de clusters

Configurações opcionais

Inicialização segura

Por padrão, a inicialização segura fica desativada no GKE, já que não é possível carregar os módulos de kernel não assinados de terceiros quando a inicialização segura está ativada.

Se você não usa módulos de kernel não assinados de terceiros, é possível ativar a inicialização segura com a ferramenta de linha de comando gcloud ou o Console do Google Cloud Platform:

gcloud

Para ativar a inicialização segura ao criar um cluster:

gcloud beta container cluster create [CLUSTER_NAME] --shielded-secure-boot

Para ativar a inicialização segura ao criar um pool de nós:

gcloud beta container node-pool create [POOL_NAME] --shielded-secure-boot

A inicialização segura está desativada por padrão. Desative-a explicitamente ao criar um cluster ou pool de nós com a opção --no-shielded-secure-boot.

Console

Para ativar a inicialização segura ao criar um pool de nós:

  1. Navegue até a página de detalhes do cluster.
  2. Na parte superior da página, clique em Adicionar conjunto de nós.
  3. Na seção Opções protegidas, sob o título Segurança, marque a caixa de seleção Inicialização segura como na foto abaixo.

Captura de tela da interface de adição de pool de nós

Monitoramento da integridade do sistema

O monitoramento de integridade está ativado por padrão no GKE. É possível desativar o monitoramento de integridade com a ferramenta de linha de comando gcloud ou o Console do Google Cloud Platform.

gcloud

Para desativar o monitoramento de integridade de componentes do sistema ao criar um cluster:

gcloud beta container cluster create [CLUSTER_NAME] --no-shielded-integrity-monitoring

Para desativar o monitoramento de integridade de componentes do sistema ao criar um pool de nós:

gcloud beta container node-pool create [POOL_NAME] --no-shielded-integrity-monitoring

O monitoramento de integridade é ativado por padrão. É possível ativá-lo explicitamente ao criar um cluster ou pool de nós com a opção --shielded-integrity-monitoring.

Console

Para desativar o monitoramento de integridade ao criar um pool de nós:

  1. Navegue até a página de detalhes do cluster.
  2. Na parte superior da página, clique em Adicionar conjunto de nós.
  3. Na seção Opções protegidas, sob o título Segurança, desmarque a caixa de seleção Monitoramento de integridade como na foto abaixo.

Captura de tela da interface de adição de pool de nós

Como verificar se os nós protegidos do GKE estão ativados

Use a ferramenta de linha de comando gcloud ou o Console do Google Cloud Platform para verificar se o cluster está usando nós protegidos do GKE.

gcloud

Descreva o cluster:

gcloud beta container clusters describe [CLUSTER_NAME]

Se os nós protegidos do GKE estiverem ativados, a saída do comando incluirá estas linhas:

shieldedNodes:
enabled: true

Console

  1. Navegue até a guia de detalhes do cluster clicando no nome dele na lista de clusters do projeto.
  2. Na lista de detalhes, verifique se os nós protegidos do GKE estão ativados.

Captura de tela da lista de detalhes do cluster

Também é possível monitorar a integridade das VMs protegidas subjacentes dos nós. Veja o procedimento em Como monitorar a integridade em instâncias de VM protegida.

Como desativar os nós protegidos do GKE

Desative os nós protegidos do GKE com a ferramenta de linha de comando gcloud ou com o Console do Google Cloud Platform.

gcloud

Ao atualizar o cluster, especifique a opção --no-enable-shielded-nodes:

gcloud beta container clusters update [CLUSTER_NAME] --no-enable-shielded-nodes

Console

  1. Navegue até a página de edição de clusters.
  2. Selecione Desativado no menu de nós protegidos do GKE.

Captura de tela da interface de edição de clusters

Depois de desativar os nós protegidos do GKE, o plano de controle e os nós são recriados como VMs comuns não protegidas. O plano de controle não fica disponível enquanto está sendo recriado. Os nós do cluster são recriados de maneira contínua para minimizar a inatividade.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Kubernetes Engine