設定檔適用性:級別 1
Shielded GKE Nodes 透過安全啟動、啟用虛擬可信平台模組 (vTPM) 的測量啟動以及完整性監控提供可驗證的完整性。
受防護的 GKE 節點可保護叢集免受超越中毒作業系統的啟動或核心層級惡意程式或 rootkit 的侵害。
受防護的 GKE 節點運行的韌體由 Google 的憑證授權機構簽署和驗證,確保節點的韌體未被修改,並建立安全啟動的信任根。GKE 節點身份透過虛擬受信平台模組 (vTPM)
得到強力保護,並在節點加入叢集之前由主節點進行遠端驗證。最後,GKE 節點的完整性(即啟動順序和核心)會被測量,並且可以遠端監控和驗證。
 |
注意叢集將在版本 v1.18 中預設啟動 Shielded GKE 節點。
|
影響
在叢集中啟用 Shielded GKE 節點後,任何在未啟用 Shielded GKE 節點的節點池中建立的節點,或在任何節點池外建立的節點,將無法加入叢集。
受防護的 GKE 節點只能與容器優化作業系統 (COS)、COS 與 containerd 以及 Ubuntu 節點映像一起使用。
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 從集群列表中選擇正在測試的集群。
- 確保
受屏蔽的 GKE 節點是已啟用在詳細資料窗格下。
使用命令列:
執行下列命令:
gcloud container clusters describe <cluster_name> --format json | jq '.shieldedNodes'
如果已啟動 Shielded GKE 節點,將返回以下內容:
{
"enabled": true
}
補救
|
注意從版本 1.18 開始,叢集將預設啟用 Shielded GKE 節點。
|
使用 Google 雲端主控台:
要更新現有叢集以使用 Shielded GKE 節點:
- 前往Kubernetes Engine 網站。
- 選擇要啟動 Shielded GKE Nodes 的叢集。
- 在詳細資訊窗格中,於安全性標題下,點擊名為Edit Shields GKE nodes的鉛筆圖示。
- 勾選名為Enable Shield GKE nodes的方框。
- 點擊SAVE CHANGES。
使用命令列:
要遷移現有叢集,必須在叢集更新命令中指定標誌
--enable-shielded-nodes:gcloud container clusters update <cluster_name> --zone <cluster_zone> --enable-shielded-nodes