Google Kubernetes Engine と Google SecOps を統合する
統合バージョン: 7.0
このドキュメントでは、Google Kubernetes Engine(GKE)を Google Security Operations(Google SecOps)と構成して統合する方法について説明します。
ユースケース
GKE 統合は、次のユースケースに対応するのに役立ちます。
クラスタ インベントリ: Google SecOps の機能を使用して、指定されたロケーション内のすべての GKE クラスタのリストを自動的に取得します。これにより、セキュリティ チームは Kubernetes インフラストラクチャの最新のインベントリを維持できます。
動的自動スケーリング: Google SecOps の機能を使用して、セキュリティ イベントや運用アラートに応じてノードプールのサイズを自動的に調整し、最適なパフォーマンスを確保します。
ラベルベースの分離: Google SecOps の機能を使用して、セキュリティ ポリシーまたはインシデント対応手順に基づいて GKE クラスタにラベルを自動的に適用します。
アドオン構成の調整: Google SecOps の機能を使用して、セキュリティのベスト プラクティスに基づいて GKE アドオンを自動的に有効または無効にします。安全でないアドオンを無効にすると、攻撃対象領域を減らすことができます。
オペレーション ステータスのモニタリング: Google SecOps の機能を使用して、セキュリティ ハンドブックまたはインシデント対応ワークフローによってトリガーされる GKE オペレーションのステータスを自動的にモニタリングします。これにより、セキュリティ アナリストは修復の進行状況をモニタリングし、進行中のオペレーションのステータスを確認できます。
始める前に
この統合を使用するには、カスタムの Identity and Access Management(IAM)ロールと Google Cloud サービス アカウントが必要です。既存のサービス アカウントを使用することも、新しいサービス アカウントを作成することもできます。
IAM ロールを作成して構成する
インテグレーション用のカスタム IAM ロールを作成して構成するには、次の操作を行います。
Google Cloud コンソールで、IAM [ロール] ページに移動します。
[ロールを作成] をクリックして、統合に必要な権限を持つカスタムロールを作成します。
新しいカスタムロールの場合は、[タイトル]、[説明]、一意の [ID] を入力します。
[ロールのリリース段階] を [一般提供] に設定します。
作成したロールに次の権限を付与します。
container.clusters.listcontainer.clusters.updatecontainer.clusters.getcontainer.operations.listcontainer.operations.get
[作成] をクリックします。
サービス アカウントを作成する
サービス アカウントの作成については、サービス アカウントを作成するをご覧ください。
[このサービス アカウントにプロジェクトへのアクセスを許可する] で、前のセクションで作成したカスタムロールをサービス アカウントに付与します。
Google Cloudでワークロードを実行しない場合は、サービス アカウントの作成後に JSON でサービス アカウント キーを作成する必要があります。
Workload Identity Emailパラメータを構成しない場合は、統合パラメータを構成するときに、ダウンロードした JSON ファイルのコンテンツ全体を使用します。セキュリティ上の理由から、サービス アカウントの JSON キーではなく、ワークロード ID のメールアドレスを使用することをおすすめします。ワークロード ID の詳細については、ワークロードの ID をご覧ください。
統合のパラメータ
GKE 統合には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Root |
省略可。 GKE インスタンス API のルート。 デフォルト値は |
Account Type |
省略可。 GKE アカウントのタイプ。 サービス アカウント キーの JSON ファイルの デフォルト値は |
Project ID |
省略可。 GKE アカウントのプロジェクト ID。 認証 JSON ファイルの |
Private Key ID |
省略可。 GKE アカウントの秘密鍵 ID。 認証 JSON ファイルの |
Private Key |
省略可。 GKE アカウントの秘密鍵。 認証 JSON ファイルの |
Client Email |
省略可。 GKE アカウントのクライアント メールアドレス。 認証 JSON ファイルの |
Client ID |
省略可。 GKE アカウントのクライアント ID。 認証 JSON ファイルの |
Auth URI |
省略可。 GKE アカウントの認証 URI。 認証 JSON ファイルの デフォルト値は |
Token URI |
省略可。 GKE アカウントのトークン URI。 認証 JSON ファイルの デフォルト値は |
Auth Provider X509 URL |
省略可。 GKE アカウントの認証プロバイダ X.509 URL。 認証 JSON ファイルの デフォルト値は |
Client X509 URL |
省略可。 GKE アカウントのクライアント X.509 URL。 認証 JSON ファイルの |
Service Account Json File Content |
省略可。 サービス アカウント キーの JSON ファイルの内容。 このパラメータまたは このパラメータを構成するには、サービス アカウントの作成時にダウンロードしたサービス アカウント キーの JSON ファイルの内容全体を入力します。 このパラメータを構成すると、統合では他の接続パラメータが無視されます。 |
Workload Identity Email |
省略可。 サービス アカウントのクライアント メールアドレス。 このパラメータまたは このパラメータを設定する場合は、 Workload Identity 連携を使用してサービス アカウントの権限を借用するには、サービス アカウントに |
Location ID |
省略可。 統合で使用するロケーション ID。 デフォルト値は |
Verify SSL |
省略可。 選択すると、統合は GKE サーバーに接続するときに SSL 証明書を検証します。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
オペレーションのステータスを取得する
オペレーション ステータスの取得アクションを使用して、GKE オペレーションのステータスを取得します。
このアクションは非同期です。必要に応じて、アクションの Google SecOps 統合開発環境(IDE)を調整します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[オペレーション ステータスを取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Location |
必須。 オペレーションのステータスを取得するロケーション( |
Operation Name |
必須。 取得するオペレーション。 |
Wait for the operation to finish |
省略可。 選択すると、アクションはオペレーションの結果を待機します。 デフォルトでは選択されていません。 |
アクションの出力
[Get Operation Status] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、オペレーション ステータスの取得アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"name": "operation-OPERATION_ID",
"zone": "europe-central2-a",
"operationType": "SET_NODE_POOL_SIZE",
"status": "RUNNING",
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/operations/operation-OPERATION_ID",
"targetLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-test/nodePools/default-pool",
"startTime": "2021-08-15T11:53:55.904254615Z"
}
出力メッセージ
[Get Operation Status] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、オペレーション ステータスの取得アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
クラスタの一覧表示
クラスタを一覧表示アクションを使用して、指定した検索条件に基づいて GKE クラスタを一覧表示します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[クラスタを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。 クラスタを検索するロケーション( |
Filter Logic |
省略可。 適用するフィルタ ロジック。 フィルタリング ロジックは 使用できる値は次のとおりです。
デフォルト値は |
Filter Value |
省略可。 フィルタに使用する値。 フィルタリング ロジックは
|
Max Records To Return |
省略可。 返すレコード数。 デフォルト値は |
アクションの出力
[クラスタを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
クラスタのリスト アクションは、次の表を返すことができます。
テーブル名: Found Clusters
テーブルの列:
- ID
- 名前
- 説明
- クラスタ ネットワーク
- クラスタ IPv4 CIDR
- ラベル
- クラスタ エンドポイント
- ステータス
- ロケーション
- ゾーン
- 初期クラスタ バージョン
- 現在のマスター バージョン
- 現在のノード バージョン
- 作成時間
JSON の結果
次の例は、クラスタのリストを取得アクションを使用した場合に受信する JSON 結果の出力です。
{
"name": "cluster-test",
"description": "Requested by user",
"nodeConfig": {
"machineType": "e2-micro",
"diskSizeGb": 15,
"oauthScopes": [
"https://www.googleapis.com/auth/devstorage.read_only",
"https://www.googleapis.com/auth/logging.write",
"https://www.googleapis.com/auth/monitoring",
"https://www.googleapis.com/auth/servicecontrol",
"https://www.googleapis.com/auth/service.management.readonly",
"https://www.googleapis.com/auth/trace.append"
],
"metadata": {
"disable-legacy-endpoints": "true"
},
"imageType": "COS",
"tags": [
"pod-net-tag"
],
"serviceAccount": "default",
"diskType": "pd-standard",
"shieldedInstanceConfig": {
"enableIntegrityMonitoring": true
}
},
"masterAuth": {
"clusterCaCertificate": "CERTIFICATE"
}
}
出力メッセージ
クラスタを一覧表示アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、クラスタを一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ノードプールの一覧表示
[ノードプールのリスト] アクションを使用して、指定した検索条件に基づいて GKE クラスタのノードプールを一覧表示します。
フィルタリング ロジックは node pool name フィールドで機能します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[ノードプールを一覧表示] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。 クラスタを検索するロケーション( |
Cluster Name |
必須。 検索するクラスタの名前。 |
Filter Logic |
省略可。 適用するフィルタ ロジック。 フィルタリング ロジックは 使用できる値は次のとおりです。
デフォルト値は |
Filter Value |
省略可。 フィルタに使用する値。 フィルタリング ロジックは
|
Max Records To Return |
省略可。 返すレコード数。 デフォルト値は |
アクションの出力
[ノードプールを一覧表示] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
ノードプールを一覧表示アクションは、次の表を返すことができます。
テーブル名: Found Node Pools
- 名前
- ステータス
- バージョン
- マシンタイプ
- タグ
- サービス アカウント
- 初期ノード数
- 自動スケーリング
- 最大 Pod 数制約
- ロケーション
JSON の結果
次の例は、ノードプールを一覧表示するアクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"nodePools": [
{
"name": "example-pool",
"config": {
"machineType": "e2-micro",
"diskSizeGb": 15,
"oauthScopes": [
"https://www.googleapis.com/auth/devstorage.read_only",
"https://www.googleapis.com/auth/logging.write",
"https://www.googleapis.com/auth/monitoring",
"https://www.googleapis.com/auth/servicecontrol",
"https://www.googleapis.com/auth/service.management.readonly",
"https://www.googleapis.com/auth/trace.append"
],
"metadata": {
"disable-legacy-endpoints": "true"
},
"imageType": "COS",
"tags": [
"pod-net-tag"
],
"serviceAccount": "default",
"diskType": "pd-standard",
"shieldedInstanceConfig": {
"enableIntegrityMonitoring": true
}
},
"initialNodeCount": 3,
"autoscaling": {},
"management": {
"autoUpgrade": true,
"autoRepair": true
},
"maxPodsConstraint": {
"maxPodsPerNode": "8"
},
"podIpv4CidrSize": 28,
"locations": [
"europe-central2-a"
],
"networkConfig": {
"podRange": "gke-cluster-example-pods-ID",
"podIpv4CidrBlock": "192.0.2.0/24"
},
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-example/nodePools/example-pool",
"version": "1.18.20-gke.900",
"instanceGroupUrls": [
"https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/europe-central2-a/instanceGroupManagers/gke-cluster-example-example-pool-ID-grp"
],
"status": "RUNNING",
"upgradeSettings": {
"maxSurge": 1
}
}
]
}
出力メッセージ
ノードプールを一覧表示アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ノードプールを一覧表示アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
オペレーションの一覧表示
オペレーションのリスト アクションを使用して、指定された検索条件に基づいてロケーションの GKE オペレーションを一覧表示します。
フィルタリング ロジックは operation name フィールドで機能します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[List Operations] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。
|
Filter Logic |
省略可。 適用するフィルタ ロジック。 フィルタリング ロジックは 使用できる値は次のとおりです。
デフォルト値は |
Filter Value |
省略可。 フィルタに使用する値。 フィルタリング ロジックは
|
Max Records To Return |
省略可。 返すレコード数。 デフォルト値は |
アクションの出力
[リスト オペレーション] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
List Operations アクションは、次の表を返すことができます。
テーブル名: Found Operations
テーブルの列:
- 名前
- ゾーン
- オペレーション タイプ
- ステータス
- 開始時刻
- 終了時間
- Target Link
- Self Link
JSON の結果
次の例は、List Operations アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"operations": [
{
"name": "operation-OPERATION_ID",
"zone": "europe-central2-a",
"operationType": "UPGRADE_MASTER",
"status": "DONE",
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/operations/operation-OPERATION_ID",
"targetLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-example",
"startTime": "2021-08-06T12:33:51.614562051Z",
"endTime": "2021-08-06T12:38:55.038159801Z"
},
]
}
出力メッセージ
List Operations アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、List Operations アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、GKE への接続をテストします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
Successfully connected to the GKE service with the provided
connection parameters! |
アクションが成功しました。 |
Failed to connect to the GKE service! Error is ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
クラスタ アドオンを設定する
クラスタ アドオンを設定アクションを使用して、GKE クラスタのアドオンを設定します。
ターゲット クラスタで構成の変更がすでに進行中の場合、現在の構成の変更が完了するまで、新しい構成の変更を受け入れることはできません。
このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE の設定を調整します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[クラスタ アドオンを設定] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。 クラスタを検索するロケーション( |
Cluster Name |
必須。 検索するクラスタの名前。 |
HTTP Load Balancing |
省略可。 HTTP ロード バランシング アドオンの値。 値は次のいずれかになります。
デフォルト値は |
Horizontal Pod Autoscaling |
省略可。 水平 Pod 自動スケーリング アドオンの値。 値は次のいずれかになります。
デフォルト値は |
Network Policy Config |
省略可。 ネットワーク ポリシー構成アドオンの値。 値は次のいずれかになります。
デフォルト値は |
Cloud Run Config |
省略可。 Cloud Run 構成アドオンの値。 値は次のいずれかになります。
デフォルト値は |
DNS Cache Config |
省略可。 DNS キャッシュ構成アドオンの値。 値は次のいずれかになります。
デフォルト値は |
Config Connector Config |
省略可。 Config Connector 構成アドオンの値。 値は次のいずれかになります。
デフォルト値は |
Persistent Disk Csi Driver Config |
省略可。 Compute Engine 永続ディスク Container Storage Interface(CSI)ドライバ構成アドオンの値を指定します。 値は次のいずれかになります。
デフォルト値は |
Wait for cluster configuration change operation to finish
|
省略可。 選択すると、アクションはクラスタ構成変更オペレーションの結果を待機します。 デフォルトで選択されています。 |
アクションの出力
[クラスタ アドオンを設定] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、クラスタ アドオンの設定アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"name": "operation-OPERATION_ID",
"zone": "europe-central2-a",
"operationType": "UPDATE_CLUSTER",
"status": "RUNNING",
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/operations/operation-OPERATION_ID",
"targetLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-test",
"startTime": "2021-08-15T11:34:43.051036236Z"
}
出力メッセージ
[クラスタ アドオンを設定] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、クラスタ アドオンの設定アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
クラスタラベルを設定する
クラスタラベルを設定アクションを使用して、GKE クラスタのラベルを設定します。このアクションは、既存のクラスタラベルに新しいラベルを追加します。
ターゲット クラスタで構成の変更がすでに進行中の場合、現在の構成の変更が完了するまで、新しい構成の変更を受け入れることはできません。
このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE の設定を調整します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[クラスタラベルを設定] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。 クラスタを検索するロケーション( |
Cluster Name |
必須。 検索するクラスタの名前。 |
Cluster Labels |
必須。 クラスタに追加するラベルを含む JSON オブジェクト。このアクションは、既存のクラスタラベルに新しいラベルを追加します。 デフォルト値は次のとおりです。 {
"key1":"value1",
"key2":"value2"
}
|
Wait for cluster configuration change operation to finish
|
省略可。 選択すると、アクションはクラスタ構成変更オペレーションの結果を待機します。 デフォルトでは選択されていません。 |
アクションの出力
[クラスタラベルを設定] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、クラスタラベルの設定アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"name": "operation-OPERATION_ID",
"zone": "europe-central2-a",
"operationType": "UPDATE_CLUSTER",
"status": "RUNNING",
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/operations/operation-OPERATION_ID",
"targetLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-test",
"startTime": "2021-08-15T11:53:55.904254615Z"
}
出力メッセージ
[クラスタラベルを設定] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、クラスタラベルを設定アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ノードの自動スケーリングを設定する
ノードの自動スケーリングを設定アクションを使用して、GKE クラスタのノードプール自動スケーリング構成を設定します。アクションは非同期です。
ターゲット クラスタで構成の変更がすでに進行中の場合、現在の構成の変更が完了するまで、新しい構成の変更を受け入れることはできません。
このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE の設定を調整します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
ノードの自動スケーリングを設定アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。 クラスタを検索するロケーション( |
Cluster Name |
必須。 検索するクラスタの名前。 |
Node Pool Name |
必須。 クラスタのノードプール名。 |
Autoscaling Mode |
省略可。 ノードプールの自動スケーリング モードのステータス。 値は次のいずれかになります。
デフォルト値は |
Minimum Node Count |
省略可。 ノードプール構成のノードの最小数。 |
Maximum Node Count |
省略可。 ノードプール構成の最大ノード数。 |
Wait for cluster configuration change operation to finish
|
省略可。 選択すると、アクションはクラスタ構成変更オペレーションの結果を待機します。 デフォルトでは選択されていません。 |
アクションの出力
[ノードの自動スケーリングを設定] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[ノードの自動スケーリングを設定] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"name": "operation-OPERATION_ID",
"zone": "europe-central2-a",
"operationType": "UPDATE_CLUSTER",
"status": "RUNNING",
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/operations/operation-OPERATION_ID",
"targetLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-test",
"startTime": "2021-08-15T11:53:55.904254615Z"
}
出力メッセージ
ノードの自動スケーリングを設定アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ノードの自動スケーリングを設定アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ノードプール管理を設定する
ノードプールの管理を設定アクションを使用して、GKE クラスタのノードプール管理構成を設定します。
このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE の設定を調整します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[ノードプール管理を設定] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。 クラスタを検索するロケーション( |
Cluster Name |
必須。 検索するクラスタの名前。 |
Node Pool Name |
必須。 GKE クラスタのノードプール名。 |
Auto Upgrade |
省略可。 自動アップグレード管理機能のステータス。 |
Auto Repair |
省略可。 自動修復管理機能のステータス。 |
Wait for cluster configuration change operation to finish
|
省略可。 選択すると、アクションはクラスタ構成変更オペレーションの結果を待機します。 デフォルトでは選択されていません。 |
アクションの出力
[ノードプール管理を設定] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、ノードプールの管理を設定アクションを使用した場合に受信する JSON 結果の出力です。
{
"name": "operation-OPERATION_ID",
"zone": "europe-central2-a",
"operationType": "SET_NODE_POOL_MANAGEMENT",
"status": "RUNNING",
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/operations/operation-OPERATION_ID",
"targetLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-test/nodePools/default-pool",
"startTime": "2021-08-15T11:53:55.904254615Z"
}
出力メッセージ
[ノードプール管理を設定] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ノードプールの管理を設定アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ノード数を設定する
GKE クラスタ ノードプールのノード数を設定するには、[ノード数を設定] アクションを使用します。
このアクションは非同期で実行されます。必要に応じて、Google SecOps IDE の設定を調整します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[ノード数の設定] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Cluster Location |
必須。 クラスタを検索するロケーション( |
Cluster Name |
必須。 検索するクラスタの名前。 |
Node Pool Name |
必須。 GKE クラスタのノードプール名。 |
Node Count |
必須。 GKE クラスタ ノードプールのノード数。 |
Wait for cluster configuration change operation to finish
|
省略可。 選択すると、アクションはクラスタ構成変更オペレーションの結果を待機します。 デフォルトでは選択されていません。 |
アクションの出力
[ノード数を設定] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、ノード数の設定アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"name": "operation-OPERATION_ID",
"zone": "europe-central2-a",
"operationType": "SET_NODE_POOL_SIZE",
"status": "RUNNING",
"selfLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/operations/operation-OPERATION_ID",
"targetLink": "https://container.googleapis.com/v1/projects/PROJECT_ID/zones/europe-central2-a/clusters/cluster-test/nodePools/default-pool",
"startTime": "2021-08-15T11:53:55.904254615Z"
}
出力メッセージ
[ノード数を設定] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
|
|
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ノード数の設定アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。