設定檔適用性:等級 1
Shielded GKE 節點透過安全啟動、啟用虛擬可信平台模組 (vTPM) 的測量啟動以及完整性監控,提供可驗證的完整性。
受防護的 GKE 節點保護叢集免受開機或核心層級的惡意程式或 rootkit 的侵害,這些惡意程式或 rootkit 可能會持續存在於中毒的作業系統之外。受防護的
GKE 節點運行由 Google 憑證機構簽署和驗證的韌體,確保節點的韌體未被修改,並建立安全開機的信任根。
GKE 節點身份透過虛擬可信平台模組 (vTPM) 強力保護,並在節點加入叢集之前由主節點遠端驗證。最後,GKE 節點完整性(即啟動順序和核心)被測量,並且可以遠端監控和驗證。
 |
注意從版本 v1.18 開始,叢集將預設啟用 Shielded GKE 節點
|
影響
在叢集中啟用 Shielded GKE Nodes 後,任何在未啟用 Shielded GKE Nodes 的節點池中建立的節點,或在任何節點池外建立的節點,均無法加入叢集。Shielded
GKE Nodes 只能與 Container-Optimized OS (COS)、COS with containerd 和 Ubuntu 節點映像一起使用。
稽核
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面。
- 從集群列表中選擇正在測試的集群,並確保在詳細資訊窗格中Shielded GKE Nodes已啟動。
使用命令列:
若要檢查叢集中是否有受防護的 GKE 節點,首先定義叢集名稱、位置資訊和專案的三個變數,然後執行以下命令:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq '.shieldedNodes'
如果已啟動 Shielded GKE 節點,將返回以下內容:
{ "enabled": true }
補救
|
注意從版本 1.18 開始,叢集將預設啟用 Shielded GKE 節點。
|
使用 Google Cloud 主控台:
要更新現有叢集以使用 Shielded GKE 節點:
- 請造訪:Google Cloud Console Kubernetes Engine 頁面,以進入 Kubernetes Engine。
- 選擇要啟用 Shielded GKE Nodes 的叢集。
- 在詳細資訊窗格中,於安全性標題下,點擊名為編輯受防護 GKE 節點的鉛筆圖示。
- 勾選名為啟用 Shielded GKE 節點的方框。
- 點擊儲存變更。
使用命令列:
若要遷移現有叢集,需在叢集更新命令中指定標誌
--enable-shielded-nodes:gcloud container clusters update <cluster_name> --location <location> --enable-shielded-nodes