Applica in modo selettivo i criteri firewall in GKE

Questa pagina mostra come applicare selettivamente il firewall di rete Cloud Next Generation Firewall in Google Kubernetes Engine (GKE) utilizzando i tag. Per scoprire come utilizzare i tag in GKE per altri scopi, come la gestione della fatturazione o i criteri IAM condizionali, consulta Gestire le risorse GKE utilizzando i tag.

Informazioni sui tag

I tag sono coppie chiave-valore che ti consentono di annotare e gestire a livello di organizzazione o di progetto. Puoi utilizzare i tag per organizzare le risorse e applicare in modo condizionale criteri come i firewall o i criteri IAM. Puoi utilizzare il controllo dell'accesso IAM per definire chi può collegare, creare, aggiornare o eliminare i tag.

Per saperne di più sui tag, consulta la Panoramica dei tag nella documentazione di Resource Manager.

Utilizzare i tag per applicare i criteri firewall di rete

Puoi utilizzare i tag per applicare in modo condizionale i criteri firewall di rete globali o regionali ai nodi GKE. Devi specificare lo scopo GCE_FIREWALL per i tag che vuoi utilizzare e i criteri firewall di rete. Quando applichi i tag scopo del firewall ai cluster o ai pool di nodi GKE, GKE li associa automaticamente alle macchine virtuali (VM) Compute Engine corrispondenti.

I tag per i criteri firewall di rete eliminano la necessità di utilizzare tag di rete, ovvero metadati che chiunque può associare alle VM Compute Engine sottostanti per l'applicazione delle regole firewall di Virtual Private Cloud e che non supportano il controllo dell'accesso IAM. Se al momento utilizzi tag di rete con regole firewall VPC, ti consigliamo di eseguire la migrazione ai criteri firewall di rete e di utilizzare tag firewall sicuri. Per un confronto dettagliato, consulta Confrontare i tag di rete con i tag in questo documento.

Tag per il flusso di lavoro dei criteri firewall di rete

Per usare i tag con criteri firewall di rete in GKE, esegui queste operazioni:

  1. Crea un tag:

    1. Definisci una chiave del tag a livello di organizzazione o progetto, ad esempio env.
    2. Definisci i possibili valori di tag per la chiave, come dev, staging e prod.

    3. Designa il tag per l'utilizzo del criterio firewall di rete.

  2. Concedi agli utenti l'accesso per interagire con il tag firewall.

  3. Applica coppie chiave-valore dei tag a cluster o pool di nodi GKE specifici. GKE allega automaticamente i tag alle VM Compute Engine sottostanti per l'applicazione delle norme del firewall.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

  • Attiva l'API Google Kubernetes Engine.
    • Abilita l'API Google Kubernetes Engine
  • Se vuoi utilizzare Google Cloud CLI per questa attività, install e poi inizializzare con gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente eseguendo gcloud components update.

Requisiti e limitazioni

  • I tag per i criteri firewall di rete sono supportati in GKE 1.28 e versioni successive. Se utilizzi una versione GKE precedente alla 1.28, utilizza invece i tag di rete con le regole firewall VPC.
  • Il cluster GKE e il tag devono essere associati alla stessa rete VPC.
  • Nei cluster Standard, ogni pool di nodi supporta fino a cinque i tag firewall.
  • I cluster Autopilot supportano fino a cinque tag firewall.
  • GKE rifiuta le chiavi dei tag che utilizzano il prefisso gke-managed.
  • Devi creare le coppie chiave-valore dei tag prima di poterle collegare a di cluster o pool di nodi.

Ruoli e autorizzazioni IAM

Per ottenere le autorizzazioni necessarie per utilizzare i tag per i criteri firewall in GKE, chiedi all'amministratore di concederti i seguenti ruoli IAM:

  • Per concedere le autorizzazioni richieste per i tag agli utenti e agli agenti di servizio GKE:
  • Per creare e amministrare i tag: Amministratore tag (roles/resourcemanager.tagAdmin) nell'organizzazione o nel progetto
  • Per collegare i tag alle risorse: Tagga utente (roles/resourcemanager.tagUser) nel progetto

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Creare tag

È necessario che esistano tag per collegarli a cluster o nodi. Per creare un tag, consulta Utilizzare i tag per i firewall nella documentazione di Cloud NGFW.

Ad esempio, per creare un tag firewall con ambito a livello di progetto, esegui questi comandi:

  1. Crea la chiave tag:

    gcloud resource-manager tags keys create TAG_KEY \
    --parent=projects/PROJECT_ID \
    --purpose=GCE_FIREWALL \
    --purpose-data=network=PROJECT_ID/NETWORK_NAME

    Sostituisci quanto segue:

    • TAG_KEY: il nome della chiave tag, ad esempio env
    • PROJECT_ID: l'ID del tuo progetto Google Cloud
    • NETWORK_NAME: il nome della rete VPC che utilizzerai con il tag

  2. Recupera l'ID della chiave tag:

    gcloud resource-manager tags keys describe PROJECT_ID/TAG_KEY \
    --format="value(name)"

    L'output è tagKeys/KEY_ID, dove KEY_ID è un ID numerico della chiave. Prendi nota di questo ID per utilizzarlo in un secondo momento.

  3. Aggiungi un valore di tag alla chiave tag:

    gcloud resource-manager tags values create TAG_VALUE \
    --parent=tagKeys/KEY_ID

    Sostituisci TAG_VALUE con il nome di un valore consentito per quella chiave tag, ad esempio dev.

Sintassi dei tag nei comandi dell'interfaccia a riga di comando gcloud

Quando fai riferimento ai tag utilizzando gcloud CLI, devi formattare le coppie chiave-valore utilizzando una delle seguenti sintassi:

Sintassi dei tag 
tagKeys/KEY_ID=tagValues/VALUE_ID

Sostituisci quanto segue:

  • KEY_ID: l'ID della chiave numerica
  • VALUE_ID: l'ID del valore numerico

Ad esempio, tagKeys/123456789=tagValues/987654321.

 
ORGANIZATION_ID/TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione di Google Cloud
  • TAG_KEY: il nome della chiave tag che hai creato
  • TAG_VALUE: il nome del valore tag che hai creato

Ad esempio, 12345678901/env=dev.

 
PROJECT_ID/TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto Google Cloud
  • TAG_KEY: il nome della chiave tag che hai creato
  • TAG_VALUE: il nome del valore del tag che hai creato

Ad esempio, example-project/env=dev.

 
PROJECT_NUMBER/TAG_KEY=TAG_VALUE

Sostituisci quanto segue:

  • PROJECT_ID: l'identificatore numerico del tuo progetto Google Cloud
  • TAG_KEY: il nome della chiave tag che hai creato
  • TAG_VALUE: il nome del valore tag che hai creato

Ad esempio, 11223344556/env=dev.

Tag di destinazione con criteri firewall

Dopo aver creato i tag, puoi fare riferimento a coppie chiave-valore specifiche nelle regole dei criteri firewall. Per le istruzioni, consulta Utilizzare i tag per i firewall.

Concedi autorizzazioni IAM agli agenti di servizio

Affinché GKE colleghi automaticamente i tag ai nuovi nodi durante gli eventi di scalabilità, devi concedere i ruoli IAM corrispondente agli account di servizio gestiti da Google Cloud, chiamati anche agenti di servizio.

  1. Concedi Ruolo utente tag (roles/resourcemanager.tagUser) all'agente di servizio Kubernetes Engine:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
    --role=roles/resourcemanager.tagUser \
    --condition=None

    Sostituisci PROJECT_NUMBER con Google Cloud il numero di progetto del cluster. Per trovare il numero del progetto, esegui questo comando :

    gcloud projects describe PROJECT_ID --format="value(projectNumber)"

  2. Concedi il ruolo Amministratore delle risorse dei tag (roles/resourcemanager.tagHoldAdmin) all'agente di servizio Kubernetes Engine per la coppia chiave-valore del tag:

    gcloud resource-manager tags values add-iam-policy-binding PROJECT_ID/TAG_KEY/TAG_VALUE \
    --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
    --role=roles/resourcemanager.tagHoldAdmin

    Questo ruolo consente all'agente di servizio di impedire l'eliminazione dei tag se la coppia chiave-valore è ancora in uso in GKE.

  3. Concedi Ruolo Utente tag (roles/resourcemanager.tagUser) all'agente di servizio API di Google:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com \
    --role=roles/resourcemanager.tagUser \
    --condition=None

Concedi ruoli IAM aggiuntivi per i tag esterni al progetto

Per utilizzare tag che appartengono a un'organizzazione o a un altro del progetto cluster, esegui questi passaggi aggiuntivi:

  1. Concedi il ruolo Utente tag (roles/resourcemanager.tagUser) a Kubernetes Accesso all'agente di servizio del motore per i tag nella risorsa padre:

    gcloud resource-manager tags keys add-iam-policy-binding PARENT_RESOURCE/TAG_KEY \
    --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
    --role=roles/resourcemanager.tagUser \
    --condition=None

    Sostituisci quanto segue:

    • PARENT_RESOURCE: l'ID progetto o l'ID organizzazione della risorsa proprietaria del tag
    • PROJECT_NUMBER: il numero del progetto del cluster progetto

  2. Concedi il ruolo Utente tag (roles/resourcemanager.tagUser) alle API di Google Accesso all'agente di servizio per i tag nella risorsa padre:

    gcloud resource-manager tags keys add-iam-policy-binding PARENT_RESOURCE/TAG_KEY \
    --member=serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com \
    --role=roles/resourcemanager.tagUser \
    --condition=None

  3. Concedi il ruolo Amministratore blocchi tag (roles/resourcemanager.tagHoldAdmin) all'agente di servizio Kubernetes Engine per la coppia chiave-valore del tag:

    gcloud resource-manager tags values add-iam-policy-binding PARENT_RESOURCE/TAG_KEY/TAG_VALUE \
    --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
    --role=roles/resourcemanager.tagHoldAdmin

Collega i tag firewall ai cluster Autopilot

Collega i tag firewall ai cluster Autopilot a livello di cluster. GKE applica automaticamente queste impostazioni su ogni nodo.

Attaccare i tag quando crei un nuovo cluster Autopilot

Esegui questo comando:

gcloud beta container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=TAG1,TAG2,...

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • LOCATION: la regione Compute Engine del cluster.
  • TAG1,TAG2,...: un insieme di coppie chiave-valore da associare, separate da virgole. Ogni coppia chiave-valore deve utilizzare una sintassi supportata, come descritto nella sezione Sintassi dei tag nei comandi. Ad esempio, example-project/env=dev,1234567901/team=sre.

Collega tag a cluster Autopilot esistenti

Esegui questo comando:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=TAG1,TAG2,...

Quando aggiorni i tag su un cluster, GKE sovrascrive tutti i tag esistenti su tutti i nodi.

Associare i tag firewall ai cluster e ai pool di nodi standard

Il metodo utilizzato per allegare i tag dipende dal fatto che tu voglia o meno che gli altri pool di nodi del cluster ereditino i tag, come segue:

Tag firewall del cluster standard
--autoprovisioning-resource-manager-tags

Impostazione a livello di cluster

GKE applica i tag a tutti i nuovi pool di nodi di cui è stato eseguito il provisioning automatico nel cluster. Se usi questo flag cluster esistente, i pool di nodi esistenti conservano tutti i tag sono state applicate prima dell'aggiornamento.
--resource-manager-tags

Impostazione a livello di pool di nodi

GKE applica i tag al pool di nodi specificato. Se utilizzi questo flag durante la creazione del cluster, GKE applica i tag al pool di nodi predefinito creato da GKE. Se utilizzi questo flag su una risorsa di cui è stato eseguito il provisioning automatico pool di nodi, GKE sovrascrive tutti i tag esistenti sul pool di nodi.

Associare i tag firewall ai cluster standard

Puoi collegare i tag a cluster standard nuovi o esistenti. Quando colleghi i tag a un intero cluster, GKE li considera impostati a livello di cluster.

Collega i tag a un nuovo cluster Standard con provisioning automatico dei nodi

GKE utilizza i tag a livello di cluster per i nuovi nodi di cui è stato eseguito il provisioning automatico predefinito. Il pool di nodi predefinito creato da GKE nel cluster non viene eseguito il provisioning automaticamente e non riceve questi tag.

gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=TAG1,TAG2,... \
    --enable-autoprovisioning \
    --max-cpu=MAX_CPU \
    --max-memory=MAX_MEMORY

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster
  • LOCATION: la regione o la zona di Compute Engine per il cluster
  • TAG1,TAG2,...: un insieme di coppie chiave-valore da associare, separate da virgole. Ogni coppia chiave-valore deve utilizzare un valore come descritto in Sintassi dei tag nella sezione dei comandi. Ad esempio, example-project/env=dev,1234567901/team=sre.
  • MAX_CPU: il numero massimo di core per il cluster
  • MAX_MEMORY: la capacità di memoria massima per il cluster in gigabyte

Collega i tag quando abiliti il provisioning automatico dei nodi in un cluster esistente

GKE applica questi tag solo ai nuovi pool di nodi di cui è stato eseguito il provisioning automatico. I pool di nodi esistenti conservano tutti i tag che avevano prima dell'aggiornamento.

  1. Associa i tag al cluster:

    gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=TAG1,TAG2,...

  2. Abilita il provisioning automatico dei nodi nel cluster:

    gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --enable-autoprovisioning \
    --max-cpu=MAX_CPU \
    --max-memory=MAX_MEMORY

Associare i tag firewall ai pool di nodi

Puoi associare tag a pool di nodi nuovi o esistenti, indipendentemente dal fatto che utilizzino o meno il provisioning automatico dei nodi. GKE considera questi tag come un l'impostazione node pool-level.

Associare tag al pool di nodi predefinito

GKE collega i tag specificati utilizzando flag --resource-manager-tags quando crei un cluster al pool di nodi predefinito creato da GKE nel cluster.

gcloud beta container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --resource-manager-tags=TAG1,TAG2,...

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster
  • LOCATION: la regione o la zona di Compute Engine per il cluster
  • TAG1,TAG2,...: un insieme di valori separati da virgole coppie chiave-valore da collegare. Ogni coppia chiave-valore deve utilizzare un valore come descritto in Sintassi dei tag nella sezione dei comandi. Ad esempio, example-project/env=dev,1234567901/team=sre.

Attaccare i tag a un nuovo pool di nodi

Quando utilizzi il flag --resource-manager-tags durante la creazione del pool di nodi, GKE collega i tag specificati a quel pool di nodi.

gcloud beta container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --location=LOCATION \
    --resource-manager-tags=TAG1,TAG2,...

Sostituisci quanto segue:

  • NODE_POOL_NAME: il nome del nuovo pool di nodi
  • CLUSTER_NAME: il nome del cluster
  • LOCATION: la regione o la zona di Compute Engine del cluster
  • TAG1,TAG2,...:un insieme di valori separati da virgole coppie chiave-valore da collegare. Ogni coppia chiave-valore deve utilizzare una sintassi supportata, come descritto nella sezione Sintassi dei tag nei comandi. Ad esempio, example-project/env=dev,1234567901/team=sre.

Collega tag a un pool di nodi esistente

Quando aggiorni i tag di un pool di nodi esistente utilizzando il flag --resource-manager-tags, GKE sovrascrive eventuali tag esistenti nel pool di nodi. Puoi usare questo comando per aggiornare i tag pool di nodi di cui è stato eseguito il provisioning automatico.

gcloud beta container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --location=LOCATION \
    --resource-manager-tags=TAG1,TAG2,...

Sostituisci NODE_POOL_NAME con il nome del pool di nodi da actualizare.

Attiva/disattiva le impostazioni di provisioning automatico nei cluster e nei pool di nodi esistenti

Quando aggiorni i tag a livello di cluster, GKE li applica a tutti i nuovi pool di nodi del cluster e conserva i tag associati ai pool di nodi esistenti.

Quando aggiorni i pool di nodi esistenti per abilitare o disabilitare il provisioning automatico dei nodi, tieni presenti le seguenti implicazioni per i tag:

  • Quando attivi o disattivi il provisioning automatico dei nodi, il pool di nodi conserva tutti i tag esistenti. GKE non sovrascrive questi tag con a livello di cluster, anche durante la ricreazione del nodo.
  • Se aggiorni manualmente i tag su pool di nodi specifici, sovrascrive i tag esistenti con i tag specificati per quel pool di nodi.

Verifica i tag del firewall sul cluster

  • Elenca i tag sui cluster Autopilot:

    gcloud beta container clusters describe CLUSTER_NAME \
    --location=LOCATION \
    --format="value(nodePoolAutoConfig.resourceManagerTags)"

  • Elenca i tag su pool di nodi specifici:

    gcloud beta container node-pools describe NODE_POOL_NAME \
  --cluster=CLUSTER_NAME \
  --location=LOCATION \
  --format="value(config.resourceManagerTags)"

Scollegare i tag firewall da cluster e pool di nodi

Per rimuovere i tag firewall dai cluster e dai pool di nodi, aggiorna la risorsa con un campo vuoto per i tag.

Scollegare i tag dai cluster Autopilot

Esegui questo comando:

gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=

Scollega tag dai pool di nodi

  1. Scollega i tag di provisioning automatico dei nodi a livello di cluster:

    gcloud beta container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=

    GKE non collegherà tag ai nuovi pool di nodi di cui è stato eseguito il provisioning automatico.

  2. Scollega i tag del pool di nodi:

    gcloud beta container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --location=LOCATION \
    --resource-manager-tags=

    GKE rimuove i tag esistenti dal pool di nodi.

Elimina chiavi e valori dei tag

Per eliminare una chiave o un valore tag, assicurati che il tag sia scollegato da tutte le risorse. Quindi, consulta la sezione Eliminare i tag della documentazione di Resource Manager.

Confrontare i tag di rete con i tag

L'utilizzo dei tag per l'applicazione dei criteri firewall ha vantaggi in termini di sicurezza e usabilità rispetto ai tag di rete. Analogamente, le reti I criteri firewall migliorano le capacità del firewall VPC facilitando l'applicazione delle regole firewall in intere organizzazioni, cartelle, progetti o reti.

L'utilizzo dei tag con i criteri firewall di rete è un modo più sicuro e scalabile per gestire l'accesso agli ambienti GKE della tua organizzazione. Puoi usare i tag di rete nello stesso cluster I tag, anche se non puoi utilizzarli per applicare e i criteri firewall di rete.

Per un confronto dettagliato tra i tag e i tag di rete, consulta Confronto tra tag e tag di rete nella documentazione di Cloud NGFW.

Differenze funzionali nei pool di nodi di cui è stato eseguito il provisioning automatico

Nei cluster Autopilot e nei pool di nodi Standard che utilizza il provisioning automatico dei nodi, i tag di rete e l'esposizione dei tag un comportamento simile. La tabella seguente mostra le differenze funzionali tra i tag di rete e i tag nei pool di nodi di cui è stato eseguito il provisioning automatico nei cluster standard:

Azione Comportamento dei tag di rete Comportamento dei tag
GKE esegue il provisioning automatico di un pool di nodi GKE applica i tag di rete a livello di cluster GKE applica i tag a livello di cluster
Aggiorna i tag o i tag di rete in un pool di nodi di cui è stato eseguito il provisioning automatico
  • Se esistono tag di rete a livello di cluster, l'operazione di aggiornamento non riesce
  • Se non esistono tag di rete a livello di cluster, GKE sovrascrive i tag di rete esistenti per il pool di nodi
 GKE sovrascrive i tag esistenti per il pool di nodi indipendentemente dall'esistenza di tag a livello di cluster
Aggiorna i tag o i tag di rete per l'intero cluster GKE sovrascrive i tag di rete pool di nodi nuovi ed esistenti di cui è stato eseguito il provisioning automatico nel cluster. GKE applica i nuovi tag a livello di cluster pool di nodi di cui è stato eseguito il provisioning automatico. I pool di nodi di cui è stato eseguito il provisioning automatico esistenti conservano i tag che avevano prima dell'aggiornamento.

Passaggi successivi