設定檔適用性:等級 1
啟用完整性監控以保護 GKE 節點,以便在節點啟動過程中收到不一致的通知。
完整性監控為受防護的 GKE 節點提供主動警報,讓管理員能夠對完整性故障做出回應,並防止受損的節點被部署到叢集中。
 |
注意完整性監控在 GKE Clusters 上預設為停用。完整性監控在 Shielded GKE Nodes 上預設為已啟動;然而,如果在建立時啟用了安全啟動,完整性監控將被停用。
|
稽核
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面。
- 從群集列表中,點擊正在測試的群集名稱。
- 開啟叢集內每個節點池的詳細資訊窗格,並確保在安全性標題下將完整性監控設為已啟動。
使用命令列:
要檢查叢集中節點池的完整性監控是否已啟動,首先為節點池、叢集名稱、位置資訊和專案定義4個變數,然後對每個節點池執行以下命令:
gcloud container node-pools describe $POOL_NAME --cluster $CLUSTER_NAME --location $LOCATION --project $PROJECT_ID --format json | jq .config.shieldedInstanceConfig
如果完整性監控已啟動,將返回以下內容:
{ "enableIntegrityMonitoring": true }
補救
一旦節點池被配置後,無法更新以啟用完整性監控。必須在叢集中創建新的節點池,並啟用完整性監控。
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面。
- 從叢集列表中,點擊需要更新的叢集,然後點擊新增節點池。
- 確保在防護選項標題下勾選完整性監控複選框。
- 點擊儲存。
需要將現有不符合規範的節點池中的工作負載遷移到新創建的節點池,然後刪除不符合規範的節點池以完成修復。
使用命令列:
要在叢集中建立已啟動完整性監控的節點池,請執行以下命令:
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --location <location> --shielded-integrity-monitoring
需要將現有不符合規範的節點池中的工作負載遷移到新創建的節點池,然後刪除不符合規範的節點池以完成修復。