Ansichten:
Profilanwendbarkeit: Stufe 1
Shielded GKE Nodes bietet überprüfbare Integrität durch sicheren Start, virtual Trusted Platform Module (vTPM)-aktivierten gemessenen Start und Integritätsüberwachung.
Abgeschirmte GKE-Knoten schützen Cluster vor Malware oder Rootkits auf Boot- oder Kernel-Ebene, die über ein infiziertes Betriebssystem hinaus bestehen. Abgeschirmte GKE-Knoten verwenden Firmware, die mit der Zertifizierungsstelle von Google signiert und verifiziert wird, um sicherzustellen, dass die Firmware der Knoten unverändert ist und die Vertrauensbasis für Secure Boot etabliert wird.
Die Identität des GKE-Knotens wird durch ein virtuelles Trusted Platform Module (vTPM) stark geschützt und vom Master-Knoten aus der Ferne überprüft, bevor der Knoten dem Cluster beitritt. Schließlich wird die Integrität des GKE-Knotens (d. h. Startsequenz und Kernel) gemessen und kann aus der Ferne überwacht und überprüft werden.
Hinweis
Hinweis
Ab Version v1.18 werden Cluster standardmäßig über aktivierte Shielded GKE-Knoten verfügen

Auswirkung

Nachdem Shielded GKE Nodes in einem Cluster aktiviert wurde, können alle Knoten, die in einem Node-Pool ohne aktivierte Shielded GKE Nodes erstellt wurden oder außerhalb eines Node-Pools erstellt wurden, dem Cluster nicht beitreten. Shielded GKE Nodes können nur mit Container-Optimized OS (COS), COS mit containerd und Ubuntu-Knotenbildern verwendet werden.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie den zu testenden Cluster aus der Liste der Cluster aus und stellen Sie sicher, dass im Detailbereich die Shielded GKE Nodes auf 'Aktiviert' stehen.
Verwendung der Befehlszeile:
Um Shielded GKE Nodes innerhalb eines Clusters zu überprüfen, definieren Sie zuerst 3 Variablen für Clustername, Standort und Projekt und führen Sie dann den folgenden Befehl aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.shieldedNodes'
Dies wird Folgendes zurückgeben, wenn Shielded GKE Nodes aktiviert sind:
{ "enabled": true }

Wiederherstellung

Hinweis
Hinweis
Ab Version 1.18 sind Shielded GKE-Knoten standardmäßig aktiviert.
Verwendung der Google Cloud Console:
Um einen bestehenden Cluster zu aktualisieren, um Shielded GKE-Knoten zu verwenden:
  1. Navigieren Sie zur Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie den Cluster aus, für den Shielded GKE Nodes aktiviert werden soll.
  3. Im Detailbereich, unter der Überschrift Sicherheit, klicken Sie auf das Stiftsymbol mit der Bezeichnung Geschützte GKE-Knoten bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen mit der Bezeichnung "Shielded GKE-Knoten aktivieren".
  5. Klicken Sie auf ÄNDERUNGEN SPEICHERN.
Verwendung der Befehlszeile:
Um einen bestehenden Cluster zu migrieren, muss das Flag --enable-shielded-nodes im Cluster-Update-Befehl angegeben werden:
gcloud container clusters update <cluster_name> --location <location> --enable-shielded-nodes