Ansichten:
Profilanwendbarkeit: Stufe 1
Aktivieren Sie die Integritätsüberwachung für geschützte GKE-Knoten, um bei Unstimmigkeiten während der Knotenstartsequenz benachrichtigt zu werden.
Die Integritätsüberwachung bietet aktive Benachrichtigungen für Shielded GKE-Knoten, die es Administratoren ermöglichen, auf Integritätsfehler zu reagieren und zu verhindern, dass kompromittierte Knoten im Cluster bereitgestellt werden.
Hinweis
Hinweis
Die Integritätsüberwachung ist standardmäßig bei GKE-Clustern deaktiviert. Die Integritätsüberwachung ist standardmäßig für Shielded GKE Nodes aktiviert; jedoch, wenn Secure Boot zum Zeitpunkt der Erstellung aktiviert ist, wird die Integritätsüberwachung deaktiviert.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie aus der Liste der Cluster den Namen des zu testenden Clusters aus.
  3. Öffnen Sie das Detailfenster für jeden Knotenpool innerhalb des Clusters und stellen Sie sicher, dass die Integritätsüberwachung unter der Überschrift Sicherheit auf Enabled eingestellt ist.
Verwendung der Befehlszeile:
Um zu überprüfen, ob die Integritätsüberwachung für die Knotenpools im Cluster aktiviert ist, führen Sie den folgenden Befehl für jeden Knotenpool aus:
gcloud container node-pools describe <node_pool_name> --cluster 
<cluster_name> --zone <compute_zone> --format json | jq 
.config.shieldedInstanceConfig
Dies wird Folgendes zurückgeben, wenn die Integritätsüberwachung aktiviert ist:
{ 
    "enableIntegrityMonitoring": true 
}

Wiederherstellung

Sobald ein Node-Pool bereitgestellt ist, kann er nicht aktualisiert werden, um die Integritätsüberwachung zu aktivieren. Neue Node-Pools müssen innerhalb des Clusters erstellt werden, wobei die Integritätsüberwachung aktiviert ist.
Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie aus der Liste der Cluster den Cluster aus, der das Update benötigt, und klicken Sie auf ADD NODE POOL.
  3. Stellen Sie sicher, dass das Kontrollkästchen 'Integritätsüberwachung' unter der Überschrift Geschützte Optionen aktiviert ist.
  4. Klicken Sie auf Speichern.
Workloads aus bestehenden nicht konformen Node-Pools müssen in den neu erstellten Node-Pool migriert werden, dann löschen Sie die nicht konformen Node-Pools, um die Behebung abzuschließen.
Verwendung der Befehlszeile:
Um einen Node-Pool innerhalb des Clusters mit aktivierter Integritätsüberwachung zu erstellen, führen Sie den folgenden Befehl aus:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> 
--zone <compute_zone> --shielded-integrity-monitoring
Workloads aus bestehenden nicht konformen Node-Pools müssen in den neu erstellten Node-Pool migriert werden, dann löschen Sie die nicht konformen Node-Pools, um die Behebung abzuschließen