Eingeschränkten Zugriff für private GKE-Cluster konfigurieren

In diesem Dokument wird beschrieben, wie Sie DNS-Einträge konfigurieren, um Anfragen mit einer eingeschränkten virtuellen IP-Adresse (VIP) an die pkg.dev- und gcr.io-Domains weiterzuleiten, wenn Sie private Google Kubernetes Engine-Cluster in einem VPC Service Controls-Dienstperimeter verwenden.

Diese Registry-Domains werden normalerweise in eine öffentliche IP-Adresse im Internet aufgelöst. In privaten GKE-Clustern sind Knoten vom ist standardmäßig mit dem Internet verbunden. Das bedeutet, dass Anfragen an die Registrierungen fehlschlagen, wenn Sie das DNS-Routing nicht auf die eingeschränkte VIP konfiguriert haben.

Ihre privaten Cluster sollten immer mit der eingeschränkten VIP auf Artifact Registry oder Container Registry zugreifen, um die Exfiltration von Daten von einem unterstützten Dienst in einen nicht unterstützten Dienst zu verhindern.

Diese Schritte sind nur erforderlich, wenn:

  • Sie verwenden private GKE-Cluster.
  • Sie haben das Routing des folgenden Elements noch nicht konfiguriert: pkg.dev oder gcr.io Registry-Domains zu restricted.googleapis.com.

Hinweis

Bevor Sie einen Dienstperimeter erstellen, müssen Sie einen neuen privaten Cluster einrichten oder die vorhandenen privaten Cluster benennen, die Sie schützen möchten.

Außerdem müssen Sie ausgehenden Traffic an 199.36.153.4/30 auf Port 443 zulassen. Normalerweise hat ein VPC-Netzwerk eine implizierte Regel, die den gesamten ausgehenden Traffic an ein beliebiges Ziel zulässt. Wenn Sie jedoch eine Regel haben, die einen solchen Traffic ablehnt, müssen Sie eine Firewallregel für ausgehenden Traffic erstellen, um den TCP-Traffic auf Port 443 an 199.36.153.4/30 zuzulassen.

DNS konfigurieren

Konfigurieren Sie Ihren DNS-Server so, dass Anfragen an Registry-Adressen in restricted.googleapis.com, die eingeschränkte VIP. Dazu können Sie private DNS-Zonen von Cloud DNS verwenden.

  1. Erstellen Sie eine verwaltete private Zone.

    gcloud dns managed-zones create ZONE_NAME \
    --visibility=private \
    --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK \
    --description=DESCRIPTION \
    --dns-name=REGISTRY_DOMAIN \
    --project=PROJECT_ID

    Dabei gilt:

    • ZONE_NAME ist der Name der Zone, die Sie erstellen. Beispiel: registry Dieser Name wird in den folgenden Schritten verwendet.

    • PROJECT_ID ist die ID des Projekts, in dem der private GKE-Cluster gehostet wird.

    • NETWORK ist eine optionale Liste von Namen des Clusternetzwerks, aus dem Sie Anfragen weiterleiten möchten.

    • DESCRIPTION ist eine für Menschen lesbare Beschreibung der verwalteten Zone.

    • REGISTRY_DOMAIN ist die Domain für Ihre Registry:

      • pkg.dev für Artifact Registry
      • gcr.io für Container Registry oder In Artifact Registry gehostete gcr.io-Repositories

  2. Starten Sie eine Transaktion.

    gcloud dns record-sets transaction start \
  --zone=ZONE_NAME \
  --project=PROJECT_ID

    Dabei gilt:

    • ZONE_NAME ist der Name der Zone, die Sie im ersten Schritt erstellt haben.

    • PROJECT_ID ist die ID des Projekts, in dem der private GKE-Cluster gehostet wird.

  3. Fügen Sie einen CNAME-Eintrag für Ihre Registry hinzu.

    gcloud dns record-sets transaction add \
  --name=*.REGISTRY_DOMAIN. \
  --type=CNAME REGISTRY_DOMAIN. \
  --zone=ZONE_NAME \
  --ttl=300 \
  --project=PROJECT_ID

    Dabei gilt:

    • ZONE_NAME ist der Name der Zone, die Sie im ersten Schritt erstellt haben.

    • PROJECT_ID ist die ID des Projekts, in dem der private GKE-Cluster gehostet wird.

    • REGISTRY_DOMAIN ist die Domain für Ihre Registry:

      • pkg.dev für Artifact Registry
      • gcr.io für Container Registry oder In Artifact Registry gehostete gcr.io-Repositories

  4. Fügen Sie einen A-Eintrag für die eingeschränkte VIP hinzu.

    gcloud dns record-sets transaction add \
  --name=REGISTRY_DOMAIN. \
  --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
  --zone=ZONE_NAME \
  --ttl=300 \
  --project=PROJECT_ID

    Dabei gilt:

    • ZONE_NAME ist der Name der Zone, die Sie im ersten Schritt erstellt haben.

    • PROJECT_ID ist die ID des Projekts, in dem der private GKE-Cluster gehostet wird.

    • REGISTRY_DOMAIN ist die Domain für Ihre Registry:

      • pkg.dev für Artifact Registry
      • gcr.io für Container Registry oder gcr.io-Repositories, die in Artifact Registry gehostet werden

  5. Führen Sie die Transaktion aus.

    gcloud dns record-sets transaction execute \
  --zone=ZONE_NAME \
  --project=PROJECT_ID

    Dabei gilt:

    • ZONE_NAME ist der Name der Zone, die Sie im ersten Schritt erstellt haben.

    • PROJECT_ID ist die ID des Projekts, in dem der private GKE-Cluster gehostet wird.

Nachdem Sie das DNS-Routing konfiguriert haben, prüfen Sie, ob sich GKE, die Registry und andere erforderliche Dienste innerhalb des VPC Service Controls-Dienstperimeters befinden. Informationen zum Konfigurieren des Dienstperimeters finden Sie unter .

Dienstperimeter konfigurieren

Nach der Konfiguration der DNS-Einträge müssen Sie entweder Neuen Dienstperimeter erstellen oder Vorhandenen Perimeter aktualisieren, Fügen Sie dann den Container Registry- oder Artifact Registry-Dienst der Liste der Dienste, die Sie mithilfe des Dienstperimeters schützen möchten.

Außerdem gilt:

  • Weitere unterstützte Dienste hinzufügen die Sie mit der Registry im Dienstperimeter verwenden, z. B. Cloud Build, Artefaktanalyse und Binärautorisierung.
  • Für Container Registry müssen Sie auch Cloud Storage zum Dienstperimeter hinzufügen.

Perimeterfunktion prüfen

Nach der Konfiguration des Dienstperimeters werden Ihre Knoten in Private GKE-Cluster können auf Container-Images in Artifact Registry zugreifen und Container Registry, wenn die Images in Projekten gespeichert sind, die sich in Ihrem Dienstperimeter.

Auf Container-Images in Projekten außerhalb des Perimeters kann weiterhin nicht zugegriffen werden, mit Ausnahme einiger bestimmter schreibgeschützter öffentlicher Repositories.

Wenn sich das Projekt google-samples beispielsweise nicht in Ihrem Dienstperimeter befindet, schlägt der Befehl zum Erstellen einer Bereitstellung aus dem Container hello-app fehl:

Domain „pkg.dev“ 

kubectl create deployment hello-server --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0

gcr.io-Domain 

kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

Prüfen Sie den Status des Pods mit folgendem Befehl:

kubectl get pods

Der Befehl gibt eine Tabelle in etwa wie in folgendem Beispiel zurück. Pod-Status ErrImagePull gibt an, dass der Abruf fehlgeschlagen ist.

NAME                            READY   STATUS         RESTARTS   AGE
hello-server-dbd86c8c4-h5wsf    1/1     ErrImagePull   0          45s

Mit dem Befehl kubectl describe pod können Sie weitere Details zur Bereitstellung aufrufen. Für den Pod aus dem vorherigen Beispiel lautet der Befehl:

kubectl describe pod hello-server-dbd86c8c4-h5wsf