Ansichten:
Profilanwendbarkeit: Stufe 1
Aktivieren Sie die Integritätsüberwachung für geschützte GKE-Knoten, um bei Inkonsistenzen während der Knotenstartsequenz benachrichtigt zu werden.
Integritätsüberwachung bietet aktive Warnmeldungen für geschützte GKE-Knoten, die Administratoren ermöglichen, auf Integritätsfehler zu reagieren und verhindern, dass kompromittierte Knoten in den Cluster bereitgestellt werden.
Hinweis
Hinweis
Die Integritätsüberwachung ist standardmäßig auf GKE Clustern deaktiviert. Die Integritätsüberwachung ist standardmäßig für Shielded GKE Nodes aktiviert; jedoch, wenn Secure Boot zum Zeitpunkt der Erstellung aktiviert ist, wird die Integritätsüberwachung deaktiviert.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Klicken Sie in der Liste der Cluster auf den Namen des zu testenden Clusters.
  3. Öffnen Sie das Detailfenster für jeden Knotenpool innerhalb des Clusters und stellen Sie sicher, dass unter der Überschrift Sicherheit die 'Integritätsüberwachung' auf 'Aktiviert' gesetzt ist.
Verwendung der Befehlszeile:
Um zu überprüfen, ob die Integritätsüberwachung für die Node-Pools im Cluster aktiviert ist, definieren Sie zunächst 4 Variablen für Node-Pool, Clustername, Standort und Projekt und führen Sie dann den folgenden Befehl für jeden Node-Pool aus:
gcloud container node-pools describe $POOL_NAME --cluster $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq .config.shieldedInstanceConfig
Dies wird Folgendes zurückgeben, wenn die Integritätsüberwachung aktiviert ist:
{ "enableIntegrityMonitoring": true }

Wiederherstellung

Sobald ein Node-Pool bereitgestellt ist, kann er nicht aktualisiert werden, um die Integritätsüberwachung zu aktivieren. Neue Node-Pools müssen innerhalb des Clusters erstellt werden, wobei die Integritätsüberwachung aktiviert ist.
Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie aus der Liste der Cluster den Cluster aus, der das Update benötigt, und klicken Sie auf NODE POOL HINZUFÜGEN.
  3. Stellen Sie sicher, dass das Kontrollkästchen 'Integritätsüberwachung' unter der Überschrift 'Abgeschirmte Optionen' aktiviert ist.
  4. Klicken Sie auf SPEICHERN.
Workloads von bestehenden nicht konformen Node-Pools müssen in den neu erstellten Node-Pool migriert werden, dann löschen Sie die nicht konformen Node-Pools, um die Behebung abzuschließen.
Verwendung der Befehlszeile:
Um einen Node-Pool innerhalb des Clusters mit aktivierter Integritätsüberwachung zu erstellen, führen Sie den folgenden Befehl aus:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --location <location> --shielded-integrity-monitoring
Workloads von bestehenden nicht konformen Node-Pools müssen in den neu erstellten Node-Pool migriert werden, dann löschen Sie die nicht konformen Node-Pools, um die Behebung abzuschließen.