設定檔適用性:等級 1
Shielded GKE Nodes 透過安全啟動、啟用虛擬可信平台模組 (vTPM) 的測量啟動以及完整性監控提供可驗證的完整性。
Shielded GKE 節點保護叢集免受啟動或核心層級的惡意程式或 rootkit 影響,這些威脅可能在中毒的作業系統之外持續存在。
受防護的 GKE 節點運行的韌體是使用 Google 的憑證授權機構簽署和驗證的,確保節點的韌體未被修改,並建立安全啟動的信任根。GKE 節點身份透過虛擬受信平台模組
(vTPM) 得到強力保護,並在節點加入叢集之前由主節點進行遠端驗證。最後,GKE 節點的完整性(即啟動順序和核心)會被測量,並且可以遠端監控和驗證。
 |
注意叢集將在版本 v1.18 中預設啟動 Shielded GKE 節點。
|
影響
在叢集中啟用 Shielded GKE Nodes 後,任何在未啟用 Shielded GKE Nodes 的節點池中建立的節點,或在任何節點池外建立的節點,將無法加入叢集。
Shielded GKE 節點只能與容器優化作業系統(COS)、COS with containerd 和 Ubuntu 節點映像一起使用。
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 從集群列表中選擇正在測試的集群。
- 確保
Shielded GKE Nodes在詳細資訊窗格中是Enabled。
使用命令列:
執行下列命令:
gcloud container clusters describe <cluster_name> --format json | jq '.shieldedNodes'
如果已啟動 Shielded GKE 節點,將返回以下內容:
{
"enabled": true
}
補救
|
注意從版本 1.18 開始,叢集將預設啟用 Shielded GKE 節點。
|
使用 Google 雲端主控台:
要更新現有的叢集以使用 Shielded GKE 節點:
- 前往Kubernetes Engine 網站。
- 選擇要啟動 Shielded GKE Nodes 的叢集。
- 在詳細資訊窗格中,於安全性標題下,點擊名為「Edit Shields GKE nodes」的鉛筆圖示。
- 勾選名為「Enable Shield GKE nodes」的方框。
- 點擊「SAVE CHANGES」。
使用命令列:
要遷移現有的叢集,必須在叢集更新命令中指定標誌
--enable-shielded-nodes:gcloud container clusters update <cluster_name> --zone <cluster_zone> --enable-shielded-nodes