Como usar a Identidade da carga de trabalho

Nesta página, explicamos a maneira recomendada para seus aplicativos do Google Kubernetes Engine (GKE) consumirem serviços fornecidos pelas APIs Google.

Visão geral

A Identidade da carga de trabalho é a maneira recomendada para acessar os serviços do Google Cloud em aplicativos sendo executados no GKE. Esse método fornece propriedades de segurança e gerenciamento aprimorados. Para ver informações sobre maneiras alternativas de acessar as APIs do Google Cloud usando o GKE, consulte a seção sobre alternativas abaixo.

Terminologia

Neste documento, diferenciamos as contas de serviço do Kubernetes das contas de serviço do Google. As contas de serviço do Kubernetes são recursos do Kubernetes, enquanto as contas de serviço do Google são específicas do Google Cloud. Outras documentações do Google Cloud se referem às contas de serviço do Google como "contas de serviço".

Conceitos

Os aplicativos em execução no GKE precisam ser autenticados para usar as APIs do Google Cloud, como as APIs de computação, armazenamento, banco de dados ou machine learning.

Com a Identidade da carga de trabalho, é possível configurar uma conta de serviço do Kubernetes para agir como uma conta de serviço do Google. Qualquer aplicativo em execução como a conta de serviço do Kubernetes é autenticado automaticamente como a conta de serviço do Google ao acessar as APIs do Google Cloud. Isso permite atribuir identidade e autorização granular aos aplicativos no cluster.

Para ter um mapeamento seguro entre as contas de serviço do Kubernetes e as do Google, a Identidade da carga de trabalho introduz o conceito de um pool de identidades de carga de trabalho de um cluster, o que permite que o gerenciamento de identidade e acesso (IAM) confie e entenda as credenciais da conta de serviço do Kubernetes.

Ao ativar a Identidade da carga de trabalho no Cluster do GKE, defina o pool de identidades da carga de trabalho do cluster como my-pool.svc.id.goog. Isso permite que o IAM autentique contas de serviço do Kubernetes como o seguinte nome de membro:

serviceAccount:my-pool.svc.id.goog[k8s-namespace/ksa-name]

Neste nome de membro:

  • my-pool.svc.id.goog é o pool de identidades de carga de trabalho definido no cluster.
  • ksa-name é o nome da conta de serviço do Kubernetes que fez a solicitação.
  • k8s-namespace é o namespace do Kubernetes em que a conta de serviço do Kubernetes está definida.

Há apenas um pool de identidades de carga de trabalho fixo por projeto do Google Cloud, project-id.svc.id.goog, e ele é criado automaticamente para você.

Como compartilhar identidades entre clusters

Todas as contas de serviço do Kubernetes que compartilham um nome, um pool de identidades da carga de trabalho e um nome de namespace resolvem para o mesmo nome de membro e, portanto, compartilham o acesso aos recursos do Google Cloud. Isso poderá ser útil se vários clusters tiverem as mesmas identidades, mas poderá ser perigoso se os nomes e namespaces das contas de serviço do Kubernetes não forem gerenciados com cuidado.

Por exemplo, se a Identidade da carga de trabalho estiver ativada no cluster, o comando a seguir concederá o mesmo acesso a todas as cargas de trabalho do Kubernetes em qualquer cluster no projeto que use a conta de serviço e o namespace padrão:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:project-id.svc.id.goog[default/default]" \
  gsa-name@project-id.iam.gserviceaccount.com

Limitações

  • Atualmente, há apenas um pool de identidades de carga de trabalho fixo por projeto do Google Cloud, project-id.svc.id.goog, e ele é criado automaticamente para você.

  • Atualmente, a Identidade da carga de trabalho não pode ser usada quando uma carga de trabalho está em execução em um cluster do GKE On-Prem.

  • A identidade de carga de trabalho substitui a necessidade de usar Ocultação de metadados e, por isso, as duas abordagens são incompatíveis. Os metadados confidenciais protegidos por ocultação de metadados também são protegidos pela identidade da carga de trabalho.

  • Quando o servidor de metadados do GKE for ativado em um pool de nós, os pods não poderão mais acessar o servidor de metadados do Compute Engine. Em vez disso, a solicitação feita a partir desses pods para as APIs de metadados será encaminhada para o servidor de metadados do GKE. A única exceção são os pods em execução na rede do host (veja o próximo item).

  • A Identidade da carga de trabalho não pode ser usada por pods em execução na rede do host. A solicitação feita a partir desses pods para as APIs de metadados será encaminhada para o servidor de metadados do Compute Engine.

  • O servidor de metadados do GKE leva alguns segundos para começar a ser executado em um pod recém-criado. Portanto, as tentativas de autenticação ou autorização usando a Identidade da carga de trabalho feitas nos primeiros segundos da vida útil de um pod poderão falhar. Tentar novamente a chamada resolverá o problema.

  • Os agentes de geração de registros e monitoramento do GKE continuarão a usar a conta de serviço do nó.

  • A Identidade da carga de trabalho não é compatível com nós do Windows.

  • A Identidade da carga de trabalho requer a configuração manual para que o Cloud Run para Anthos no Google Cloud continue a lançar métricas de solicitação.

  • A Identidade da carga de trabalho instalará ip-masq-agent se o cluster for criado sem a sinalização --disable-default-snat.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

Defina as configurações padrão da gcloud usando um dos métodos a seguir:

  • Use gcloud init se quiser orientações para definir os padrões.
  • Use gcloud config para definir individualmente a região, a zona e o ID do projeto.

Como usar o gcloud init

Se você receber o erro One of [--zone, --region] must be supplied: Please specify location, conclua esta seção.

  1. Execute gcloud init e siga as instruções:

    gcloud init

    Se você estiver usando SSH em um servidor remoto, utilize a sinalização --console-only para impedir que o comando inicie um navegador:

    gcloud init --console-only
  2. Siga as instruções para autorizar a gcloud a usar sua conta do Google Cloud.
  3. Crie uma nova configuração ou selecione uma atual.
  4. Escolha um projeto do Google Cloud.
  5. Escolha uma zona padrão do Compute Engine.

Como usar o gcloud config

  • Defina o ID do projeto padrão:
    gcloud config set project project-id
  • Se você estiver trabalhando com clusters zonais, defina a zona do Compute padrão:
    gcloud config set compute/zone compute-zone
  • Se você estiver trabalhando com clusters regionais, defina a região do Compute padrão:
    gcloud config set compute/region compute-region
  • Atualize gcloud para a versão mais recente:
    gcloud components update

Como ativar a identidade da carga de trabalho em um cluster

É possível ativar a Identidade da carga de trabalho em um cluster novo ou atual usando a ferramenta gcloud.

  1. Verifique se você ativou a API Service Account Credentials do IAM.

    Ativar a API IAM Credentials

  2. Para criar um novo cluster com a Identidade da carga de trabalho ativada, use o seguinte comando:

    gcloud container clusters create cluster-name \
      --workload-pool=project-id.svc.id.goog
    

    Substitua:

    • cluster-name: o nome do cluster.
    • project-id: o ID do seu projeto do Google Cloud.

    Essa ação requer a permissão container.clusters.create no projeto.

  3. Para ativar a Identidade da carga de trabalho em um cluster atual, modifique o cluster com o seguinte comando:

    gcloud container clusters update cluster-name \
      --workload-pool=project-id.svc.id.goog
    

    Os pools de nós existentes não são afetados. novos pools de nós assumem --workload-metadata=GKE_METADATA como padrão.

    Essa ação exige permissões container.clusters.update no cluster.

Migrar aplicativos para a Identidade da carga de trabalho

Selecione a estratégia de migração ideal para seu ambiente. Os pools de nós podem ser migrados no local ou é possível criar novos pools de nós com a Identidade da carga de trabalho ativada. Recomendamos a criação de novos pools de nós se você também precisar modificar seu aplicativo para que ele seja compatível com esse recurso.

Adicione um novo pool de nós ao cluster com a Identidade da carga de trabalho ativada e migre manualmente cargas de trabalho para esse pool. Isso só funcionará se a identidade da carga de trabalho estiver ativada no cluster.

gcloud container node-pools create nodepool-name \
  --cluster=cluster-name \
  --workload-metadata=GKE_METADATA

Se um cluster tiver a identidade de carga de trabalho ativada, será possível desativá-la seletivamente em um pool de nós especificando explicitamente --workload-metadata=GCE_METADATA. Consulte Como proteger os metadados do cluster para mais informações.

Opção 2: modificação do pool de nós

Modifique um pool de nós atual para ativar GKE_METADATA. Essa atualização só será bem-sucedida se a identidade da carga de trabalho estiver ativada no cluster. Isso ativa imediatamente a identidade da carga de trabalho para cargas de trabalho implantadas no pool de nós. Essa alteração impedirá que as cargas de trabalho usem a conta de serviço do Compute Engine e precisará ser lançada com cuidado.

gcloud container node-pools update nodepool-name \
  --cluster=cluster-name \
  --workload-metadata=GKE_METADATA

Essa ação requer permissões container.nodes.update no projeto.

Como autenticar no Google Cloud

Nesta seção, explicamos como um aplicativo pode ser autenticado no Google Cloud com a Identidade da carga de trabalho. Para fazer isso, atribua uma conta de serviço do Kubernetes ao aplicativo e configure-a para atuar como uma conta de serviço do Google:

  1. Configure kubectl para se comunicar com o cluster:

    gcloud container clusters get-credentials cluster-name
    

    Substitua cluster-name pelo nome do cluster que você criou na etapa anterior.

    Essa ação requer a permissão container.clusters.get no projeto.

  2. Como a maioria dos outros recursos, as contas de serviço do Kubernetes residem em um namespace. Crie o namespace a ser usado para a conta de serviço do Kubernetes.

    kubectl create namespace k8s-namespace
    

    Essa ação requer a permissão para criar o RBAC de namespace no cluster.

  3. Crie a conta de serviço do Kubernetes a ser usada para seu aplicativo:

    kubectl create serviceaccount --namespace k8s-namespace ksa-name
    

    Substitua:

    • k8s-namespace, o nome do namespace do Kubernetes que você criou na etapa anterior;
    • ksa-name: o nome que você quer usar para a conta de serviço do Kubernetes.

    Essa ação requer a permissão para criar contas de serviço de RBAC no namespace.

    Como alternativa, é possível usar o namespace padrão ou a conta de serviço padrão do Kubernetes em qualquer namespace.

  4. Crie uma conta de serviço do Google para seu aplicativo. Se você tiver uma conta de serviço atual, poderá usá-la em vez de criar uma nova conta de serviço. A conta de serviço não precisa estar no mesmo projeto que o cluster. É possível usar qualquer conta de serviço do Google na sua organização.

    gcloud

    Substitua gsa-name pelo nome escolhido para a conta de serviço.

    gcloud iam service-accounts create gsa-name
    

    Config Connector

    Se você já tiver o Config Connector instalado em um cluster, poderá criar um novo cluster do GKE com a identidade da carga de trabalho ativada usando uma configuração do Config Connector.

    Observação: esta etapa requer o Config Connector. Siga estas instruções para instalar o Config Connector no cluster.

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
    kind: IAMServiceAccount
    metadata:
      name: [GSA_NAME]
    spec:
      displayName: [GSA_NAME]
    Para implantar esse manifesto, faça o download dele para sua máquina como service-account.yaml. Substitua gsa-name pelo nome escolhido para a conta de serviço. Em seguida, use kubectl para aplicar o manifesto.

    kubectl apply -f service-account.yaml

    Essa ação requer a permissão iam.serviceAccounts.create no projeto.

    Para ver informações sobre como autorizar contas de serviço do Google a acessar as APIs do Google Cloud, consulte Como entender as contas de serviço.

  5. Permita que a conta de serviço do Kubernetes atue como a conta de serviço do Google. Para isso, crie uma vinculação de política do IAM entre as duas contas. Essa vinculação permite que a conta de serviço do Kubernetes atue como a conta de serviço do Google.

    gcloud

    gcloud iam service-accounts add-iam-policy-binding \
      --role roles/iam.workloadIdentityUser \
      --member "serviceAccount:project-id.svc.id.goog[k8s-namespace/ksa-name]" \
      gsa-name@project-id.iam.gserviceaccount.com
    

    Config Connector

    Observação: esta etapa requer o Config Connector. Siga estas instruções para instalar o Config Connector no cluster.

    apiVersion: iam.cnrm.cloud.google.com/v1beta1
    kind: IAMPolicy
    metadata:
      name: iampolicy-workload-identity-sample
    spec:
      resourceRef:
        apiVersion: iam.cnrm.cloud.google.com/v1beta1
        kind: IAMServiceAccount
        name: [GSA_NAME]
      bindings:
        - role: roles/iam.workloadIdentityUser
          members:
            - serviceAccount:[PROJECT_ID].svc.id.goog[[K8S_NAMESPACE]/[KSA_NAME]]
    Para implantar esse manifesto, faça o download dele para sua máquina como policy-binding.yaml. Substitua gsa-name, project-id k8s-namespace e ksa-name pelos valores correspondentes do seu ambiente. Depois, execute:

    kubectl apply -f policy-binding.yaml

    Essa ação requer a permissão iam.serviceAccounts.setIamPolicy no projeto.

  6. Adicione a anotação iam.gke.io/gcp-service-account=gsa-name@project-id à conta de serviço do Kubernetes usando o endereço de e-mail da conta de serviço do Google.

    kubectl

    kubectl annotate serviceaccount \
      --namespace k8s-namespace \
      ksa-name \
      iam.gke.io/gcp-service-account=gsa-name@project-id.iam.gserviceaccount.com
    

    yaml

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      annotations:
        iam.gke.io/gcp-service-account: gsa-name@project-id.iam.gserviceaccount.com
      name: ksa-name
      namespace: k8s-namespace
    

    Esta ação requer permissões de edição de RBAC na conta de serviço do Kubernetes.

  7. Verifique se as contas de serviço estão configuradas corretamente. Para isso, crie um pod com a conta de serviço do Kubernetes que executa a imagem do contêiner cloud-sdk e conecte-se a ele com uma sessão interativa.

    kubectl

    kubectl run -it \
      --image google/cloud-sdk:slim \
      --serviceaccount ksa-name \
      --namespace k8s-namespace \
      workload-identity-test
    

    yaml

    apiVersion: v1
    kind: Pod
    metadata:
      name: workload-identity-test
      namespace: k8s-namespace
    spec:
      containers:
      - image: google/cloud-sdk:slim
        name: workload-identity-test
        command: ["sleep","infinity"]
      serviceAccountName: ksa-name
    

    A imagem google/cloud-sdk inclui a ferramenta de linha de comando gcloud, que é uma maneira conveniente de consumir as APIs Google Cloud. Pode levar algum tempo para fazer o download da imagem.

    Essa ação requer a permissão para criar o RBAC de pods no namespace.

    Agora você está conectado a um shell interativo no pod criado. Execute o seguinte comando no pod:

    gcloud auth list
    

    Se as contas de serviço estiverem configuradas corretamente, o endereço de e-mail da conta de serviço do Google será listado como a identidade ativa (e única). Isso demonstra que, por padrão, o pod usa a autoridade da conta de serviço do Google ao chamar APIs Google Cloud.

Como usar a identidade de carga de trabalho do seu código

A autenticação nos serviços do Google Cloud usando o código segue o mesmo processo que a autenticação usando o servidor de metadados do Compute Engine. Quando você usa a Identidade da carga de trabalho, suas solicitações para o servidor de metadados da instância são encaminhadas para o servidor de metadados do GKE. O código atual que autentica usando o servidor de metadados da instância (como o código que usa as bibliotecas de cliente do Google Cloud) funcionará sem precisar de modificações.

Noções básicas do servidor de metadados do GKE

O servidor de metadados do GKE é um novo servidor de metadados projetado para uso com o Kubernetes. Ele é executado como um daemonset com um pod em cada nó do cluster. O servidor de metadados intercepta solicitações HTTP para http://metadata.google.internal (169.254.169.254:80), incluindo solicitações, como GET /computeMetadata/v1/instance/service-accounts/default/token, para recuperar um token para a conta de serviço do Google que o pod está configurado para atuar como. O tráfego para o servidor de metadados nunca sai da instância de VM que hospeda o pod.

O servidor de metadados do GKE implementa apenas um subconjunto de endpoints do servidor de metadados do Compute Engine que são relevantes e seguros para as cargas de trabalho do Kubernetes:

  • /computeMetadata/v1/instance/attributes/cluster-location
  • /computeMetadata/v1/instance/attributes/cluster-name
  • /computeMetadata/v1/instance/attributes/cluster-uid
  • /computeMetadata/v1/instance/hostname
  • /computeMetadata/v1/instance/id
  • /computeMetadata/v1/project/numeric-project-id
  • /computeMetadata/v1/project/project-id
  • /computeMetadata/v1/instance/service-accounts
  • /computeMetadata/v1/instance/service-accounts/default
  • /computeMetadata/v1/instance/service-accounts/default/aliases
  • /computeMetadata/v1/instance/service-accounts/default/email
  • /computeMetadata/v1/instance/service-accounts/default/identity
  • /computeMetadata/v1/instance/service-accounts/default/identity?audience=audience
  • /computeMetadata/v1/instance/service-accounts/default/scopes
  • /computeMetadata/v1/instance/service-accounts/default/token
  • /computeMetadata/v1/instance/service-accounts/default/token?scopes=comma-separated-list-of-scopes

Como revogar o acesso

  1. Revogue o acesso à conta de serviço do Google usando o IAM:

    gcloud

    gcloud iam service-accounts remove-iam-policy-binding \
      --role roles/iam.workloadIdentityUser \
      --member "serviceAccount:project-id.svc.id.goog[k8s-namespace/ksa-name]" \
      gsa-name@gsa-project-id.iam.gserviceaccount.com
    

    Substitua:

    • project-id, o contêiner do ID do projeto do cluster do GKE;
    • k8s-namespace, o nome do namespace do Kubernetes em que a conta de serviço do Kubernetes está localizada;
    • ksa-name, o nome da conta de serviço do Kubernetes que terá o acesso revogado;
    • gsa-name, o nome da conta de serviço do Google;
    • gsa-project-id, o ID do projeto que contém a conta de serviço do Google.

    Config Connector

    Se você usou o Config Connector para criar a conta de serviço, exclua-a com kubectl.

    kubectl delete -f service-account.yaml
    

    Essa ação exige permissões iam.serviceAccounts.setIamPolicy na conta de serviço.

    Pode levar até 30 minutos para que os tokens em cache expirem. É possível verificar se os tokens em cache já expiraram com este comando:

    gcloud auth list
    

    Os tokens em cache expiram se a saída desse comando não incluir mais gsa-name@project-id.iam.gserviceaccount.com.

  2. Remova a anotação da conta de serviço do Kubernetes. Esta etapa é opcional porque o acesso foi revogado pelo IAM.

    kubectl annotate serviceaccount \
      --namespace k8s-namespace \
      ksa-name \
      iam.gke.io/gcp-service-account-
    

Como solucionar problemas

Se não for possível autenticar seu aplicativo no Google Cloud, confira se as configurações a seguir estão definidas corretamente:

  1. Verifique se você ativou a API Service Account Credentials do IAM no projeto que contém o cluster do GKE.

    Ativar a API IAM Credentials

  2. Garanta que a Identidade da carga de trabalho esteja ativada no cluster. Para isso, verifique se ela tem um pool definido de Identidade da carga de trabalho:

    gcloud container clusters describe cluster-name \
      --format="value(workloadIdentityConfig.workloadPool)"
    
  3. Verifique se o servidor de metadados do GKE (GKE_METADATA) está configurado no pool de nós em que o aplicativo está sendo executado:

    gcloud container node-pools describe node-pool-name \
      --cluster=cluster-name \
      --format="value(config.workloadMetadataConfig.mode)"
    
  4. Confira se a conta de serviço do Kubernetes está anotada corretamente:

    kubectl describe serviceaccount \
      --namespace k8s-namespace \
      ksa-name
    

    É preciso haver uma anotação no seguinte formato:

    iam.gke.io/gcp-service-account: gsa-name@project-id.iam.gserviceaccount.com
    
  5. Verifique se a conta de serviço do Google está configurada corretamente:

    gcloud iam service-accounts get-iam-policy \
      gsa-name@project-id.iam.gserviceaccount.com
    

    Confira se há uma vinculação no seguinte formato:

    - members:
      - serviceAccount:project-id.svc.id.goog[k8s-namespace/ksa-name]
      role: roles/iam.workloadIdentityUser
    
  6. Se você tiver uma política de rede de cluster, certifique-se de que a saída para 127.0.0.1/32 na porta 988 esteja permitida:

    kubectl describe networkpolicy network-policy-name
    

Como desativar a Identidade da carga de trabalho em um cluster

  1. Desative a Identidade da carga de trabalho em cada pool de nós:

    gcloud container node-pools update nodepool-name \
      --cluster=cluster-name \
      --workload-metadata=GCE_METADATA
    

    Repita esse comando em cada pool de nós no cluster.

  2. Desative a identidade de carga de trabalho no cluster:

    gcloud container clusters update cluster-name \
      --disable-workload-identity
    

    Essa ação exige permissões container.clusters.update no cluster.

Como desativar a identidade da carga de trabalho na sua organização

Do ponto de vista da segurança, a Identidade da carga de trabalho permite que o GKE declare identidades das contas de serviço do Kubernetes que podem ser autenticadas e autorizadas nos recursos do Google Cloud. Os administradores que realizaram ações para isolar cargas de trabalho de recursos do Google Cloud, como desativar a criação de contas de serviço ou de chaves de conta de serviço, também poderão desativar a Identidade da carga de trabalho na organização se quiserem.

Consulte estas instruções para desativar a Identidade da carga de trabalho na sua organização.

Alternativas à Identidade da carga de trabalho

Há dois métodos alternativos para acessar as APIs do Cloud do GKE. Com o lançamento da identidade da carga de trabalho, não recomendamos mais essas abordagens por causa dos compromissos que elas exigem.

  1. Exporte as chaves da conta de serviço e armazene-as como secrets do Kubernetes. As chaves da conta de serviço do Google expiram após 10 anos e são alternadas manualmente. A exportação de chaves da conta de serviço tem o potencial de expandir o escopo de uma violação de segurança se ela não for detectada.

  2. Use a conta de serviço do Compute Engine dos nós. É possível executar pools de nós como qualquer conta de serviço do IAM no projeto. Se você não especificar uma conta de serviço durante a criação do pool de nós, o GKE usará a conta de serviço padrão do Compute Engine do projeto. A conta de serviço do Compute Engine é compartilhada por todas as cargas de trabalho implantadas no nó. Isso pode resultar em excesso de provisionamento de permissões.

A seguir