プロファイル適用性: レベル1
シールドされたGKEノードの変更監視を有効にして、ノードの起動シーケンス中の不整合を通知します。
変更監視は、Shielded GKEノードに対してアクティブなアラートを提供し、管理者が整合性の失敗に対応し、侵害されたノードがクラスターに展開されるのを防ぐことができます。
 |
注意変更監視はデフォルトでGKE Clustersでは無効になっています。変更監視はShielded GKE Nodesではデフォルトで有効ですが、作成時にSecure
Bootが有効になっている場合、変更監視は無効になります。
|
監査
Google Cloud Consoleを使用する:
- Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します。
- クラスターの一覧から、テスト中のクラスターの名前をクリックしてください。
- クラスター内の各ノードプールの詳細ペインを開き、セキュリティ見出しの下で変更監視が有効に設定されていることを確認してください。
コマンドラインを使用:
クラスター内のノードプールに対して変更監視が有効になっているか確認するには、まずノードプール、クラスター名、ロケーション、プロジェクトの4つの変数を定義し、次に各ノードプールに対して以下のコマンドを実行します。
gcloud container node-pools describe $POOL_NAME --cluster $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq .config.shieldedInstanceConfig
変更監視が有効になっている場合、次の内容が返されます。
{ "enableIntegrityMonitoring": true }
修復
ノードプールがプロビジョニングされると、変更監視を有効にするために更新することはできません。変更監視を有効にした新しいノードプールをクラスター内に作成する必要があります。
Google Cloud Consoleを使用する:
- Google CloudコンソールKubernetes EngineページにアクセスしてKubernetes Engineに移動します。
- クラスタのリストから、更新が必要なクラスタをクリックし、ADD NODE POOLをクリックしてください。
- Shielded options見出しの下で変更監視チェックボックスがオンになっていることを確認してください。
- 保存をクリックしてください。
既存の非準拠ノードプールからのワークロードは、新しく作成されたノードプールに移行する必要があります。その後、非準拠ノードプールを削除して修復を完了します。
コマンドラインを使用:
クラスター内に変更監視が有効なノードプールを作成するには、次のコマンドを実行してください。
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --location <location> --shielded-integrity-monitoring
既存の非準拠ノードプールからのワークロードは、新しく作成されたノードプールに移行する必要があります。その後、非準拠ノードプールを削除して修復を完了します。