本页面介绍了如何使用安全强化型 GKE 节点功能。安全强化型 GKE 节点可提供强大、可验证的节点身份和完整性,能够提高 Google Kubernetes Engine (GKE) 节点的安全性。
关于安全强化型 GKE 节点
安全强化型 GKE 节点是在 Compute Engine 安全强化型虚拟机的基础上构建的。在没有安全强化型 GKE 节点的情况下,攻击者可能会利用 Pod 中的漏洞来泄露引导凭据,并模拟集群中的节点,向攻击者授予对集群密钥的访问权限。启用安全强化型 GKE 节点后,GKE 控制层面会以加密方式验证以下各项:
- 集群中的每个节点都是在 Google 数据中心中运行的虚拟机。
- 每个节点都是针对集群预配的代管实例组 (MIG)的一部分。
- 系统正在针对运行 kubelet 的节点,为 kubelet 预配证书。
这限制了攻击者模拟集群中节点的能力,即使攻击者可以泄露节点的引导凭据。
您可以选择对节点池配置节点完整性检查,从而为您的节点提供增强型 rootkit 和 bootkit 保护。这些节点池设置与安全强化型 GKE 节点无关,即使在集群上停用了安全强化型 GKE 节点,这些设置仍会有效。
如需了解详情,请参阅安全强化型虚拟机文档。
运行安全强化型 GKE 节点无需额外费用。但安全强化型 GKE 节点在启动时生成的日志比标准节点多 0.5 KB。如需了解详情,请参阅 Cloud Logging 价格页面。
可用性
- 安全强化型 GKE 节点适用于 GKE 1.13.6-gke.0 版及更高版本。
- 安全强化型 GKE 节点适用于所有地区和区域。
- 安全强化型 GKE 节点可用于所有节点映像。
- 安全强化型 GKE 节点可用于 GPU。
准备工作
在开始之前,请确保您已执行以下任务:
- 确保您已启用 Google Kubernetes Engine API。 启用 Google Kubernetes Engine API
- 确保您已安装 Cloud SDK。
使用以下任一方法设定默认的 gcloud 设置:
- 使用
gcloud init(如果您想要在系统引导下完成默认设置)。 - 使用
gcloud config(如果您想单独设置项目 ID、区域和地区)。
使用 gcloud init
如果您收到 One of [--zone, --region] must be supplied: Please specify
location 错误,请完成本部分。
-
运行
gcloud init并按照说明操作:gcloud init
如果您要在远程服务器上使用 SSH,请使用
--console-only标志来防止命令启动浏览器:gcloud init --console-only
-
按照说明授权
gcloud使用您的 Google Cloud 帐号。 - 创建新配置或选择现有配置。
- 选择 Google Cloud 项目。
- 为可用区级集群选择默认 Compute Engine 可用区,或为区域级集群或 Autopilot 集群选择区域。
使用 gcloud config
在新集群中启用安全强化型 GKE 节点
您可以使用 gcloud 工具或 Google Cloud Console 创建一个启用了安全强化型 GKE 节点的新集群。
gcloud
创建新集群时,请指定 --enable-shielded-nodes 选项:
gcloud container clusters create CLUSTER_NAME \
--enable-shielded-nodes
控制台
转到 Cloud Console 中的 Google Kubernetes Engine 页面。
点击 add_box 创建。
在导航窗格的集群下,点击安全。
选中启用安全强化型 GKE 节点复选框。
根据需要配置集群。
点击创建。
如需详细了解如何创建集群,请参阅创建集群。
在现有集群中启用安全强化型 GKE 节点
您可以使用 gcloud 命令行工具或 Google Cloud Console 在现有集群中启用安全强化型 GKE 节点。
启用安全强化型 GKE 节点后,系统会将控制平面和节点重新创建为安全强化型虚拟机。控制平面在重新创建期间不可用。系统会以滚动方式重新创建集群节点,以最大程度减少停机时间。
gcloud
更新集群时,请指定 --enable-shielded-nodes 选项:
gcloud container clusters update CLUSTER_NAME \
--enable-shielded-nodes
控制台
转到 Cloud Console 中的 Google Kubernetes Engine 页面:
点击要修改的集群的名称。
在安全下的安全强化型 GKE 节点字段中,点击 edit 修改安全强化型 GKE 节点。
选中启用安全强化型 GKE 节点复选框。
点击保存更改。
验证是否已启用安全强化型 GKE 节点
您可以使用 gcloud 命令行工具或 Google Cloud Console 来验证您的集群是否使用了安全强化型 GKE 节点。
gcloud
描述集群:
gcloud container clusters describe CLUSTER_NAME
如果启用了安全强化型 GKE 节点,则该命令的输出将包括以下行:
shieldedNodes:
enabled: true
控制台
如需验证集群是否使用了安全强化型 GKE 节点,请执行以下操作:
转到 Cloud Console 中的 Google Kubernetes Engine 页面:
点击您要检查的集群的名称。
在安全下的安全强化型 GKE 节点字段中,验证安全强化型 GKE 节点是否已启用。
您还可以监控节点的底层安全强化型虚拟机的完整性。请参阅监控安全强化型虚拟机实例的完整性,了解具体操作。
停用安全强化型 GKE 节点
您可以使用 gcloud 命令行工具或 Google Cloud Console 停用安全强化型 GKE 节点。
gcloud
更新集群时,请指定 --no-enable-shielded-nodes 选项:
gcloud container clusters update CLUSTER_NAME \
--no-enable-shielded-nodes
控制台
转到 Cloud Console 中的 Google Kubernetes Engine 页面:
点击要修改的集群的名称。
在安全下的安全强化型 GKE 节点字段中,点击 edit 修改安全强化型 GKE 节点。
取消选中启用安全强化型 GKE 节点复选框。
点击保存更改。
停用安全强化型 GKE 节点后,系统会将控制平面和节点重新创建为普通的非安全强化型虚拟机。控制平面在重新创建期间不可用。系统会以滚动方式重新创建集群节点,以最大程度减少停机时间。
节点完整性
安全启动和完整性监控是可与安全强化型 GKE 节点结合使用的节点池设置。安全强化型 GKE 节点、安全启动和完整性监控是独立功能,可单独启用或停用。
安全启动
安全启动是在 GKE 上默认处于停用状态的节点池设置,因为启用安全启动后无法加载第三方未签名的内核模块。
如果您不使用第三方未签名的内核模块,则可以使用 gcloud 命令行工具或 Google Cloud Console 启用安全启动。
gcloud
如需在创建集群时启用安全启动,请运行以下命令:
gcloud container clusters create CLUSTER_NAME \
--shielded-secure-boot
如需在创建节点池时启用安全启动,请运行以下命令:
gcloud container node-pools create POOL_NAME \
--shielded-secure-boot
“安全启动”默认处于停用状态。您可以在创建集群或节点池时使用 --no-shielded-secure-boot 选项明确停用该功能。
控制台
如需在创建节点池时启用安全启动,请运行以下命令:
转到 Cloud Console 中的 Google Kubernetes Engine 页面:
点击要修改的集群的名称。
点击 add_box 添加节点池。
在导航菜单中,点击安全。
在安全强化选项下,选中启用安全启动复选框。
点击创建。
完整性监控
完整性监控是在 GKE 上默认处于启用状态的节点池设置。您可以使用 gcloud 命令行工具或 Google Cloud Console 停用完整性监控。
gcloud
要在创建集群时停用对系统组件的完整性监控,请运行以下命令:
gcloud container clusters create CLUSTER_NAME \
--no-shielded-integrity-monitoring
要在创建节点池时停用对系统组件的完整性监控,请运行以下命令:
gcloud container node-pools create POOL_NAME \
--no-shielded-integrity-monitoring
完整性监控默认处于启用状态。您可以在创建集群或节点池时使用 --shielded-integrity-monitoring 选项明确启用该功能。
控制台
要在创建节点池时停用完整性监控功能,请执行以下操作:
转到 Cloud Console 中的 Google Kubernetes Engine 页面:
点击要修改的集群的名称。
点击 add_box 添加节点池。
在导航窗格中,点击安全。
在安全强化选项下,取消选中启用完整性监控复选框。