設定檔適用性:等級 1
啟用完整性監控以保護 GKE 節點,在節點啟動過程中發現不一致時收到通知。
完整性監控為受防護的 GKE 節點提供主動警報,允許管理員對完整性故障做出回應,並防止受損的節點被部署到叢集中。
 |
注意在 GKE 叢集上,完整性監控預設為停用。對於 Shielded GKE 節點,完整性監控預設為已啟動;然而,如果在建立時啟用了安全啟動,完整性監控將被停用。
|
稽核
使用 Google 雲端主控台:
- 前往 Kubernetes Engine 網站。
- 從叢集列表中,點擊正在測試的叢集名稱。
- 開啟叢集內每個節點池的詳細資訊窗格,並確保在安全性標題下完整性監控設定為
Enabled。
使用命令列:
要檢查叢集中節點池的完整性監控是否已啟動,請對每個節點池執行以下命令:
gcloud container node-pools describe <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --format json | jq .config.shieldedInstanceConfig
如果完整性監控已啟動,將返回以下內容:
{
"enableIntegrityMonitoring": true
}
補救
一旦節點池被配置,就無法更新以啟用完整性監控。必須在叢集中創建新的節點池,並啟用完整性監控。
使用 Google 雲端主控台:
- 前往 Kubernetes Engine 網站。
- 從叢集列表中,點擊需要更新的叢集,然後點擊「ADD NODE POOL」。
- 確保在Shielded 選項標題下勾選完整性監控複選框。
- 點擊「SAVE」。
需要將現有不符合規範的節點池中的工作負載遷移到新創建的節點池,然後刪除不符合規範的節點池以完成修復。
使用命令列:
要在叢集中建立已啟動完整性監控的節點池,請執行以下命令:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --shielded-integrity-monitoring
需要將現有不符合規範的節點池中的工作負載遷移到新創建的節點池,然後刪除不符合規範的節點池以完成修復