Déployer une application sur GKE et afficher les insights sur la sécurité

Découvrez comment déployer un conteneur intentionnellement vulnérable dans un cluster GKE et obtenir des insights sur la sécurité de la faille dans le tableau de bord de la stratégie de sécurité. Le cluster GKE Le tableau de bord de la stratégie de sécurité affiche des informations sur le système d'exploitation connu les failles. Pour détecter les failles éventuelles dans Go ou sur les packages Java, reportez-vous Créez une application et affichez les insights sur la sécurité.

Objectifs

  • Créer une application conteneurisée et la transférer vers Artifact Registry avec Cloud Build.
  • Créez un pipeline de livraison dans Cloud Deploy.
  • Déployez l'application dans un cluster GKE de préproduction et passez-la à un cluster de production.
  • Affichez des insights sur les failles de l'application déployée à l'aide du tableau de bord sur l'état de la sécurité dans la console Google Cloud.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Install the Google Cloud CLI.

  3. To initialize the gcloud CLI, run the following command: 

    gcloud init

  4. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Artifact Registry, Cloud Build, Cloud Deploy, Google Kubernetes Engine, Container Security, and Container Analysis APIs: 

    gcloud services enable artifactregistry.googleapis.com cloudbuild.googleapis.com clouddeploy.googleapis.com container.googleapis.com containersecurity.googleapis.com  containeranalysis.googleapis.com
  7. Install the Google Cloud CLI.

  8. To initialize the gcloud CLI, run the following command: 

    gcloud init

  9. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Artifact Registry, Cloud Build, Cloud Deploy, Google Kubernetes Engine, Container Security, and Container Analysis APIs: 

    gcloud services enable artifactregistry.googleapis.com cloudbuild.googleapis.com clouddeploy.googleapis.com container.googleapis.com containersecurity.googleapis.com  containeranalysis.googleapis.com

Une fois que vous avez terminé les tâches décrites dans ce document, vous pouvez éviter de continuer à payer des frais en supprimant les ressources que vous avez créées. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Préparer votre environnement

  1. Définissez votre ID de projet en tant que variable d'environnement :

    export PROJECT_ID=$(gcloud config get project)

  2. Définissez la région Google Cloud par défaut pour Cloud Deploy :

    gcloud config set deploy/region us-central1

  3. Clonez le dépôt GitHub contenant l'exemple de code pour cette tâche:

    git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
cd ~/software-delivery-shield-demo-java/backend

  4. Créer un compte de service IAM pour votre GKE

    à utiliser:

    gcloud iam service-accounts create sds-runtime \
    --display-name="SDS with GKE service account"

  5. Accordez des autorisations au compte de service IAM :

    gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \
    --role="roles/container.nodeServiceAccount"
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:sds-runtime@${PRiam.gserviceaccount.comOJECT_ID}. \
    --role="roles/clouddeploy.jobRunner"
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccount:sds-ruiam.gserviceaccount.comntime@${PROJECT_ID}. \
    --role="roles/container.developer"
gcloud projects add-iam-policy-binding $PROJECT_ID \
    --member=serviceAccoiam.gserviceaccount.comunt:sds-runtime@${PROJECT_ID}. \
    --role="roles/artifactregistry.reader"

  6. Accordez au compte de service Compute Engine par défaut l'accès clusters GKE. Cloud Deploy utilise cet accès déployer des applications sur les clusters de votre pipeline de livraison.

    PROJECT_NUMBER="$(gcloud projects describe ${PROJECT_ID} --format='get(projectNumber)')"
gcloud projects add-iam-policy-binding ${PROJECT_NUMBER} \
    --member=serviceAccount:${PROJECdeveloper.gserviceaccount.comT_NUMBER}-compute@ \
    --role=roles/container.developer

Créer le dépôt Artifact Registry pour votre image

  1. Créez le dépôt :

    gcloud artifacts repositories create containers \
    --repository-format=docker \
    --location=us-central1 \
    --description="SDS with GKE repository"

  2. Vérifiez que le dépôt existe :

    gcloud artifacts repositories list \
    --location=us-central1 \
    --filter="REPOSITORY:containers"

    La sortie affiche le dépôt containers que vous avez créé.

Créer les clusters GKE

Créer deux clusters GKE, un cluster de préproduction nommé dev-cluster et un cluster de production nommé prod-cluster. Dans Autopilot, l'analyse des failles des charges de travail est automatiquement activée pour les nouveaux clusters en cours d'exécution versions 1.27 et ultérieures. Si vous utilisez un bloc d'annonces cluster, spécifiez l'option --workload-vulnerability-scanning=standard.

gcloud container clusters create-auto dev-cluster \
    --region=us-central1 \
    --release-channel=rapid \
    --service-account=sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com
gcloud container clusters create-auto prod-cluster \
    --region=us-central1 \
    --release-channel=rapid \
    --service-account=sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com

La création d'un cluster peut prendre jusqu'à cinq minutes. Vous pouvez également activer l'analyse des failles des charges de travail en mettant à jour des clusters GKE existants.

Créer l'image

Créez et envoyez l'image à l'aide de Cloud Build:

gcloud builds submit --region us-central1 --config cloudbuild.yaml

Une fois la compilation terminée, le résultat ressemble à ce qui suit:

DONE
-----------------------------------------------------------------------------
ID: 3e23094f-7f57-4449-bc68-51c37hn34d03
CREATE_TIME: 2022-09-19T15:41:07+00:00
DURATION: 54S
SOURCE: gs://my-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f.tgz
IMAGES: us-central1-docker.pkg.dev/PROJECT_ID/containers/java-guestbook-backend:quickstart
STATUS: SUCCESS

Déployer l'image sur GKE à l'aide de Cloud Deploy

  1. Remplacez l'ID de votre projet dans le fichier de configuration de Cloud Deploy :

    sed -i "s/PROJECT_ID/${PROJECT_ID}/g" clouddeploy.yaml

  2. Enregistrez le pipeline et les cibles :

    gcloud deploy apply --file=clouddeploy.yaml

  3. Pour vérifier que votre pipeline existe, accédez à la page Pipelines de livraison. dans la console Google Cloud:

    OK aux pipelines de livraison

    La liste des pipelines affiche votre nouveau pipeline, guestbook-app-delivery.

  4. Cliquez sur le nom du pipeline pour surveiller sa progression. La page Détails du pipeline de diffusion s'ouvre.

  5. Créez une version dans Cloud Deploy:

    gcloud deploy releases create guestbook-release-001 \
    --delivery-pipeline=guestbook-app-delivery \
    --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart

    La nouvelle version apparaît dans la section Versions de la page Détails du pipeline de diffusion.

  6. Sur la page Détails du pipeline de livraison, surveillez le pipeline visualisation jusqu'à ce que le bouton Promouvoir s'affiche pour dev-cluster Vous devrez peut-être actualiser la page.

  7. Cliquez sur Promouvoir dans la visualisation dev-cluster.

  8. Dans le volet Promouvoir la version, cliquez sur Promouvoir pour confirmer la promotion vers votre cluster de production.

  9. Pour vérifier que votre version a réussi, consultez la section Versions. La colonne État du dernier déploiement affiche Successfully deployed to prod-cluster.

Afficher les failles

Dans cette section, vous allez afficher OS Vulnerability Insights à l'aide du tableau de bord de la stratégie de sécurité. Le tableau de bord affiche des informations sur les failles de vos charges de travail en cours d'exécution après leur déploiement dans vos clusters.

  1. Accédez à la page Stratégie de sécurité GKE dans la console Google Cloud.

    Accéder à la page "Stratégie de sécurité de GKE"

  2. Pour afficher les résultats de l'analyse, actualisez la page. L'analyse initiale peut prendre jusqu'à Durée : 15 minutes

  3. Sur la page Stratégie de sécurité GKE, consultez le Section Faille de l'OS de la charge de travail. Cette section liste les principales failles CVE affectant votre charge de travail déployée.

  4. Pour en savoir plus, cliquez sur Afficher tous les problèmes de failles. L'onglet Problèmes s'ouvre et applique un filtre pour le type de problème Faille. Le tableau présente un aperçu de chaque faille et de son impact.

  5. Pour en savoir plus sur une faille spécifique, cliquez sur le nom du problème dans le tableau. Le volet Vulnérabilité s'ouvre. Dans ce volet, vous pouvez effectuer suivantes:

    • Lisez une description détaillée de la CVE, y compris les versions concernées, les packages et le score CVSS.
    • Afficher les actions recommandées pour atténuer le problème, comme la documentation et les informations de version de correctif.
    • Affichez les charges de travail spécifiques affectées par la faille dans l'onglet Charges de travail concernées.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page ne soient facturées sur votre compte Google Cloud, supprimez le projet Google Cloud contenant les ressources.

Supprimer des ressources individuelles

  1. Supprimez le pipeline Cloud Deploy :

    gcloud deploy delivery-pipelines delete guestbook-app-delivery --force

  2. Supprimez les clusters GKE :

    gcloud container clusters delete dev-cluster \
    --region=us-central1
gcloud container clusters delete prod-cluster \
    --region=us-central1

  3. Supprimez le dépôt Artifact Registry :

    gcloud artifacts repositories delete containers \
    --location=us-central1

  4. Supprimez le compte de service IAM :

    gcloud iam service-accounts delete sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com

Supprimer le projet

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Étape suivante