Ansichten:
Profilanwendbarkeit: Stufe 1
Aktivieren Sie die Integritätsüberwachung für geschützte GKE-Knoten, um bei Inkonsistenzen während der Knotenstartsequenz benachrichtigt zu werden.
Integritätsüberwachung bietet aktive Warnmeldungen für Shielded GKE-Knoten, die Administratoren ermöglichen, auf Integritätsfehler zu reagieren und zu verhindern, dass kompromittierte Knoten in den Cluster bereitgestellt werden.
Hinweis
Hinweis
Die Integritätsüberwachung ist standardmäßig bei GKE-Clustern deaktiviert. Die Integritätsüberwachung ist standardmäßig für Shielded GKE Nodes aktiviert; jedoch, wenn Secure Boot zum Zeitpunkt der Erstellung aktiviert ist, wird die Integritätsüberwachung deaktiviert.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie in der Liste der Cluster auf den Namen des zu testenden Clusters.
  3. Öffnen Sie das Detailfenster für jeden Knotenpool innerhalb des Clusters und stellen Sie sicher, dass die Integritätsüberwachung unter der Überschrift Sicherheit auf Enabled eingestellt ist.
Verwendung der Befehlszeile:
Um zu überprüfen, ob die Integritätsüberwachung für die Knotengruppen im Cluster aktiviert ist, führen Sie den folgenden Befehl für jede Knotengruppe aus:
gcloud container node-pools describe <node_pool_name> --cluster 
<cluster_name> --zone <compute_zone> --format json | jq 
.config.shieldedInstanceConfig
Dies wird Folgendes zurückgeben, wenn die Integritätsüberwachung aktiviert ist:
{ 
    "enableIntegrityMonitoring": true 
}

Wiederherstellung

Sobald ein Node-Pool bereitgestellt ist, kann er nicht aktualisiert werden, um die Integritätsüberwachung zu aktivieren. Neue Node-Pools müssen innerhalb des Clusters erstellt werden, wobei die Integritätsüberwachung aktiviert ist.
Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie aus der Liste der Cluster den Cluster aus, der das Update benötigt, und klicken Sie auf ADD NODE POOL.
  3. Stellen Sie sicher, dass das Kontrollkästchen 'Integritätsüberwachung' unter der Überschrift Geschützte Optionen aktiviert ist.
  4. Klicken Sie auf Speichern.
Workloads aus bestehenden nicht konformen Node-Pools müssen in den neu erstellten Node-Pool migriert werden, danach löschen Sie die nicht konformen Node-Pools, um die Behebung abzuschließen.
Verwendung der Befehlszeile:
Um einen Node-Pool innerhalb des Clusters mit aktivierter Integritätsüberwachung zu erstellen, führen Sie den folgenden Befehl aus:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> 
--zone <compute_zone> --shielded-integrity-monitoring
Workloads aus bestehenden nicht konformen Node-Pools müssen in den neu erstellten Node-Pool migriert werden, anschließend löschen Sie die nicht konformen Node-Pools, um die Behebung abzuschließen