プロファイル適用性: レベル1
Shielded GKEノードの変更監視を有効にして、ノードの起動シーケンス中の不整合を通知します。
変更監視は、Shielded GKEノードに対してアクティブなアラートを提供し、管理者が整合性の失敗に対応し、侵害されたノードがクラスターにデプロイされるのを防ぐことができます。
 |
注意変更監視はGKEクラスターではデフォルトで無効になっています。変更監視はShielded GKEノードではデフォルトで有効になっていますが、作成時にセキュアブートが有効になっている場合、変更監視は無効になります。
|
監査
Google Cloud Consoleを使用する
- Kubernetes Engine websiteに移動します。
- クラスターのリストから、テスト中のクラスター名をクリックしてください。
- クラスター内の各ノードプールの詳細ペインを開き、セキュリティ見出しの下で変更監視が
Enabledに設定されていることを確認してください。
コマンドラインを使用:
クラスター内のノードプールに対して変更監視が有効になっているか確認するには、各ノードプールに対して次のコマンドを実行してください。
gcloud container node-pools describe <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --format json | jq .config.shieldedInstanceConfig
変更監視が有効になっている場合、次の内容が返されます。
{
"enableIntegrityMonitoring": true
}
修復
一度ノードプールがプロビジョニングされると、変更監視を有効にするために更新することはできません。変更監視を有効にした新しいノードプールをクラスター内に作成する必要があります。
Google Cloud Consoleを使用する
- Kubernetes Engine websiteに移動します。
- クラスタのリストから、更新が必要なクラスタをクリックし、[ADD NODE POOL]をクリックしてください。
- シールドオプション見出しの下にある変更監視チェックボックスがオンになっていることを確認してください。
- [保存] をクリックします。
既存の非準拠ノードプールからのワークロードは、新しく作成されたノードプールに移行する必要があります。その後、非準拠ノードプールを削除して修正を完了します。
コマンドラインを使用:
クラスター内に変更監視が有効なノードプールを作成するには、次のコマンドを実行してください。
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --shielded-integrity-monitoring
既存の非準拠ノードプールからのワークロードは、新しく作成されたノードプールに移行する必要があります。その後、非準拠ノードプールを削除して修正を完了します