設定檔適用性:等級 1
啟用完整性監控以保護 GKE 節點,在節點啟動過程中發現不一致時收到通知。
完整性監控為 Shielded GKE 節點提供主動警報,允許管理員對完整性故障作出回應,並防止受損節點被部署到叢集中。
 |
注意完整性監控在 GKE 叢集上預設為停用。完整性監控在 Shielded GKE 節點上預設為已啟動;然而,如果在建立時啟用了安全啟動,完整性監控將被停用。
|
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 從叢集列表中,點擊正在測試的叢集名稱。
- 打開叢集內每個節點池的詳細資訊窗格,並確保在安全性標題下完整性監控設置為
已啟動。
使用命令列:
要檢查叢集中節點池的完整性監控是否已啟動,請對每個節點池執行以下命令:
gcloud container node-pools describe <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --format json | jq .config.shieldedInstanceConfig
如果完整性監控已啟動,將返回以下內容:
{
"enableIntegrityMonitoring": true
}
補救
一旦節點池被配置,就無法更新以啟用完整性監控。必須在叢集中創建新的節點池,並啟用完整性監控。
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 從叢集列表中,點擊需要更新的叢集,然後點擊ADD NODE POOL。
- 確保在受防護選項標題下勾選完整性監控核取方塊。
- 按一下「SAVE」。
需要將現有不符合規範的節點池中的工作負載遷移到新創建的節點池,然後刪除不符合規範的節點池以完成修正。
使用命令列:
要在叢集中建立已啟動完整性監控的節點池,請執行以下命令:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --shielded-integrity-monitoring
需要將現有不符合規範的節點池中的工作負載遷移到新創建的節點池,然後刪除不符合規範的節點池以完成修復