Ansichten:
Profilanwendbarkeit: Stufe 1
Shielded GKE-Knoten bieten überprüfbare Integrität durch sicheren Start, virtual Trusted Platform Module (vTPM)-aktivierten gemessenen Start und Integritätsüberwachung.
Abgeschirmte GKE-Knoten schützen Cluster vor Malware oder Rootkits auf Boot- oder Kernel-Ebene, die über ein infiziertes Betriebssystem hinaus bestehen bleiben.
Abgeschirmte GKE-Knoten führen Firmware aus, die mit der Zertifizierungsstelle von Google signiert und verifiziert wird, um sicherzustellen, dass die Firmware der Knoten unverändert ist und die Vertrauensbasis für Secure Boot etabliert wird. Die Identität des GKE-Knotens wird stark durch ein virtuelles Trusted Platform Module (vTPM) geschützt und vom Master-Knoten aus der Ferne überprüft, bevor der Knoten dem Cluster beitritt. Schließlich wird die Integrität des GKE-Knotens (d. h. Startsequenz und Kernel) gemessen und kann aus der Ferne überwacht und verifiziert werden.
Hinweis
Hinweis
Ab Version v1.18 werden Cluster standardmäßig über Aktivierte Shielded GKE-Knoten verfügen.

Auswirkung

Nachdem Shielded GKE Nodes in einem Cluster aktiviert ist, können alle Knoten, die in einem Node-Pool ohne aktivierte Shielded GKE Nodes erstellt wurden oder außerhalb eines Node-Pools erstellt wurden, dem Cluster nicht beitreten.
Shielded GKE-Knoten können nur mit Container-Optimized OS (COS), COS mit containerd und Ubuntu-Knotenabbildungen verwendet werden.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den zu testenden Cluster aus der Liste der Cluster aus.
  3. Stellen Sie sicher, dass Shielded GKE Nodes im Detailbereich Enabled sind.
Verwendung der Befehlszeile:
Führen Sie folgenden Befehl aus:
gcloud container clusters describe <cluster_name> --format json | jq '.shieldedNodes'
Dies wird Folgendes zurückgeben, wenn Shielded GKE Nodes aktiviert sind:
{ 
    "enabled": true 
}

Wiederherstellung

Hinweis
Hinweis
Ab Version 1.18 sind Shielded GKE-Knoten standardmäßig aktiviert.
Verwendung der Google Cloud Console:
So aktualisieren Sie einen vorhandenen Cluster, um Shielded GKE-Knoten zu verwenden:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den Cluster aus, für den Shielded GKE Nodes aktiviert werden soll.
  3. Im Detailbereich, unter der Überschrift Sicherheit, klicken Sie auf das Stiftsymbol mit dem Namen Edit Shields GKE nodes.
  4. Aktivieren Sie das Kontrollkästchen mit dem Namen Enable Shield GKE nodes.
  5. Klicken Sie auf SAVE CHANGES.
Verwendung der Befehlszeile:
Um einen bestehenden Cluster zu migrieren, muss das Flag --enable-shielded-nodes im Cluster-Update-Befehl angegeben werden:
gcloud container clusters update <cluster_name> --zone <cluster_zone> --enable-shielded-nodes