Ansichten:
Profilanwendbarkeit: Stufe 1
Shielded GKE Nodes bietet überprüfbare Integrität durch Secure Boot, virtual Trusted Platform Module (vTPM)-Aktiviert gemessenen Boot und Integritätsüberwachung.
Shielded GKE-Knoten schützen Cluster vor Malware oder Rootkits auf Boot- oder Kernel-Ebene, die über ein infiziertes Betriebssystem hinaus bestehen bleiben.
Abgeschirmte GKE-Knoten führen Firmware aus, die mit der Zertifizierungsstelle von Google signiert und verifiziert wird, um sicherzustellen, dass die Firmware der Knoten unverändert ist und die Vertrauensbasis für Secure Boot etabliert. Die Identität des GKE-Knotens wird stark durch ein virtuelles Trusted Platform Module (vTPM) geschützt und vor dem Beitritt des Knotens zum Cluster vom Masterknoten aus der Ferne verifiziert. Schließlich wird die Integrität des GKE-Knotens (d. h. Startsequenz und Kernel) gemessen und kann aus der Ferne überwacht und verifiziert werden.
Hinweis
Hinweis
Ab Version v1.18 werden Cluster standardmäßig über aktivierte Shielded GKE-Knoten verfügen.

Auswirkung

Nachdem Shielded GKE Nodes in einem Cluster aktiviert wurde, können alle Knoten, die in einem Node-Pool ohne aktivierte Shielded GKE Nodes erstellt wurden oder außerhalb eines Node-Pools erstellt wurden, dem Cluster nicht beitreten.
Abgeschirmte GKE-Knoten können nur mit Container-Optimized OS (COS), COS mit containerd und Ubuntu-Knotenabbildungen verwendet werden.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den zu testenden Cluster aus der Liste der Cluster aus.
  3. Stellen Sie sicher, dass Shielded GKE Nodes unter dem Detailbereich Enabled sind.
Verwendung der Befehlszeile:
Führen Sie den folgenden Befehl aus:
gcloud container clusters describe <cluster_name> --format json | jq '.shieldedNodes'
Dies wird Folgendes zurückgeben, wenn Shielded GKE-Knoten aktiviert sind:
{ 
    "enabled": true 
}

Wiederherstellung

Hinweis
Hinweis
Ab Version 1.18 sind Shielded GKE-Knoten standardmäßig aktiviert.
Verwendung der Google Cloud Console:
So aktualisieren Sie einen bestehenden Cluster, um Shielded GKE-Knoten zu verwenden:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den Cluster aus, für den Shielded GKE Nodes aktiviert werden soll.
  3. Im Detailbereich, unter der Überschrift Sicherheit, klicken Sie auf das Stiftsymbol mit dem Namen Edit Shields GKE nodes.
  4. Aktivieren Sie das Kontrollkästchen mit dem Namen Enable Shield GKE nodes.
  5. Klicken Sie auf SAVE CHANGES.
Verwendung der Befehlszeile:
Um einen bestehenden Cluster zu migrieren, muss das Flag --enable-shielded-nodes im Cluster-Update-Befehl angegeben werden:
gcloud container clusters update <cluster_name> --zone <cluster_zone> --enable-shielded-nodes