אימות עומסי עבודה לעומסי עבודה אחרים באמצעות mTLS

במאמר הזה מוסבר איך להגדיר הקצאת הרשאות אוטומטית וניהול מחזור חיים של זהויות מנוהלות של עומסי עבודה ב-Compute Engine. אתם מגדירים מאגרי CA כדי להנפיק אישורים באמצעות Certificate Authority Service (CA), שהוא שירות עם זמינות גבוהה ומדרגי Google Cloud , שמפשט ומבצע אוטומציה של הפריסה, הניהול והאבטחה של שירותי CA. לכל מכונה וירטואלית מוקצים פרטי כניסה מסוג X.509 ממאגר הרשאות ה-CA שהוגדר. אפשר להשתמש בפרטי הכניסה האלה כדי ליצור חיבורי mTLS.

באמצעות זהויות מנוהלות של עומסי עבודה ב-Compute Engine, אתם יכולים להטמיע תקשורת מוצפנת עם אימות הדדי בין שתי מכונות וירטואליות ב-Compute Engine. אפליקציות של עומסי עבודה שפועלות במכונות הווירטואליות המוגדרות יכולות להשתמש בפרטי הכניסה של X.509 ל-mTLS לכל מכונה וירטואלית. האישורים האלה של mTLS עוברים רוטציה באופן אוטומטי ומנוהלים בשבילכם על ידי Certificate Authority Service.

לפני שמתחילים

• שליחת בקשה לגישה לתצוגה המקדימה של זהויות מנוהלות של עומסי עבודה

• מגדירים את Google Cloud CLI.

  התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:

  gcloud init

  אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

• מגדירים את Google Cloud CLI כך שישתמש בפרויקט שנכלל ברשימת ההיתרים לחיוב ולמכסה.

    gcloud config set billing/quota_project PROJECT_ID

  מחליפים את PROJECT_ID במזהה הפרויקט שנוסף לרשימת ההיתרים של הגרסה המקדימה של הזהות המנוהלת של עומס העבודה.

• כדאי לעיין במסמכי סקירה כללית על זהויות מנוהלות של עומסי עבודה.

Enable the Compute Engine API:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable compute.googleapis.com

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות ליצירת מכונות וירטואליות שמשתמשות באימות באמצעות אישורי זהות של עומסי עבודה מנוהלים לעומסי עבודה אחרים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

• אדמין במכונות של Compute (גרסה 1) (roles/compute.instanceAdmin.v1)
• משתמש בחשבון שירות (roles/iam.serviceAccountUser)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

סקירה כללית

כדי להשתמש בזהויות מנוהלות של עומסי עבודה באפליקציות, צריך לבצע את המשימות הבאות:

1. אדמין לענייני אבטחה:

   • יצירת זהויות מנוהלות של עומסי עבודה במאגר זהויות של עומסי עבודה.
   • הגדרת מדיניות האימות של עומס העבודה.
   • הגדרת Certificate Authority Service להנפקת אישורים לזהויות מנוהלות של עומסי עבודה
   • איך מאשרים לזהויות מנוהלות של עומסי עבודה לבקש אישורים ממאגר רשויות אישורים
   • הגדרת האמון והנפקת האישורים.

2. אדמין של Compute:

   • קבלת קובץ התצורה להעלאת המטא-נתונים של השותף.
   • מפעילים זהויות מנוהלות של עומסי עבודה לעומסי עבודה שפועלים ב-Compute Engine:
     • מכונות וירטואליות פרטיות
     • קבוצות של מופעי מכונה מנוהלים (MIG).
   • גישה לפרטי כניסה של עומסי עבודה במכונת VM של Linux

הגדרת זהויות מנוהלות של עומסי עבודה בניהול הזהויות והרשאות הגישה (IAM)

• פועלים לפי ההוראות במאמר הגדרת אימות של זהויות מנוהלות של עומסי עבודה .

  בהוראות האלה מוסבר איך לבצע את הפעולות הבאות:

  • יוצרים מאגר זהויות של כוח עבודה.
  • יוצרים מרחבי שמות במאגר הזהויות של עומסי העבודה. משתמשים במרחבי השמות כדי ליצור גבולות אדמיניסטרטיביים לזהויות המנוהלות של עומסי העבודה, למשל, מרחב שמות לכל אחת מהאפליקציות שבבעלות הארגון.
  • יוצרים זהות מנוהלת של עומס עבודה במרחב שמות במאגר הזהויות של עומסי העבודה. לדוגמה, אפשר ליצור מרחב שמות לאפליקציה וליצור בתוכו זהויות מנוהלות למיקרו-שירותים שתומכים באפליקציה הזו.
  • יוצרים חשבון שירות. אפשר לתת הרשאה למכונות וירטואליות ב-Compute Engine לקבל זהות מנוהלת של עומס עבודה על סמך חשבון השירות שמקושר למכונה הווירטואלית. Google Cloud
  • יוצרים מדיניות אימות של עומס עבודה שמאפשרת לעומס העבודה לקבל אישורים עבור הזהות המנוהלת של עומס העבודה. כדי לקבל אישורים לזהות המנוהלת של עומס העבודה, עומס העבודה צריך להיות בתוך פרויקט ספציפי, וחשבון השירות צריך להיות מצורף אליו.
  • מגדירים את Certificate Authority Service להנפקת אישורים לזהויות מנוהלות של עומסי עבודה:
    • הגדרת מאגר רשויות אישורים (CA) בסיסיות
    • הגדרת רשויות אישורים משניות
    • איך מאשרים לזהויות מנוהלות של עומסי עבודה לבקש אישורים ממאגר ה-CA

קבלת קובץ התצורה להעלאת המטא-נתונים של השותף

אדמין האבטחה יוצר קובץ JSON שמכיל את הפרטים הבאים:

• ההגדרה של Workload Identity
• ההגדרה של הנפקת האישור
• הגדרת האמון

הקובץ צריך להיקרא CONFIGS.json. משתמשים בקובץ הזה כשיוצרים תבנית של הגדרות מכונה ל-MIG או כשיוצרים מכונה וירטואלית בודדת.

קובץ CONFIGS.json צריך להיראות כך:

  {
  "wc.compute.googleapis.com": {
     "entries": {
        "certificate-issuance-config": {
           "primary_certificate_authority_config": {
              "certificate_authority_config": {
                 "ca_pool": "projects/PROJECT_ID/locations/SUBORDINATE_CA_POOL_REGION/caPools/SUBORDINATE_CA_POOL_ID"
              }
           },
           "key_algorithm": "rsa-2048"
        },
        "trust-config": {
           "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
               "trust_anchors": [{
                  "ca_pool": "projects/PROJECT_ID/locations/SUBORDINATE_CA_POOL_REGION/caPools/SUBORDINATE_CA_POOL_ID"
                }]
           }
     }
  }
  },
  "iam.googleapis.com": {
     "entries": {
        "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID"
     }
  }
  }
  

הפעלת זהויות מנוהלות של עומסי עבודה לקבוצת מופעי מכונה מנוהלים (MIG)

קבוצת מופעי מכונה מנוהלים (MIG) היא קבוצה של מכונות וירטואליות (VM) שמתייחסים אליה כישות אחת. כל מכונה וירטואלית ב-MIG נוצרת באמצעות תבנית של הגדרות מכונה. כדי לאפשר למכונות הווירטואליות ב-MIG להשתמש בזהויות מנוהלות של עומסי עבודה, צריך לציין את ההגדרה בתבנית של הגדרות המכונה.

יצירת תבנית של הגדרות מכונה

יוצרים תבנית של הגדרות מכונה עם התכונה 'זהויות מנוהלות של עומסי עבודה' מופעלת. אחר כך משתמשים בתבנית הזו כדי ליצור קבוצת מופעי מכונה מנוהלים (MIG).

gcloud beta compute instance-templates create INSTANCE_TEMPLATE_NAME \
    --service-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --metadata enable-workload-certificate=true \
    --partner-metadata-from-file CONFIGS.json

מידע נוסף זמין במאמר בנושא יצירת תבניות של מכונות וירטואליות.

יצירת קבוצת מופעי מכונה מנוהלים מהתבנית

יוצרים קבוצה של מופעי מכונה מנוהלים שמשתמשת בתבנית של הגדרות מכונה שמופעלות בה זהויות מנוהלות של עומסי עבודה. פרטים על יצירת תבנית של הגדרות מכונה מופיעים במאמר יצירת תבנית של הגדרות מכונה.

gcloud compute instance-groups managed create INSTANCE_GROUP_NAME \
    --size=SIZE \
    --template=INSTANCE_TEMPLATE_NAME \
    --zone=ZONE

מידע מפורט על יצירת קבוצות של מופעי מכונה מנוהלים (MIG) זמין במאמר תרחישים בסיסיים ליצירת קבוצות של מופעי מכונה מנוהלים (MIG)

הפעלה של זהויות מנוהלות של עומסי עבודה במכונות וירטואליות נפרדות

אפשר להפעיל זהויות מנוהלות של עומסי עבודה במכונה וירטואלית (VM) כשיוצרים את המכונה הווירטואלית או כשמעדכנים את המטא-נתונים של השותף במכונה וירטואלית קיימת.

יצירת מכונות וירטואליות שמופעלות בהן זהויות מנוהלות של עומסי עבודה

כשיוצרים מכונה וירטואלית, כדי להפעיל בה את התכונה 'זהויות מנוהלות של עומסי עבודה', צריך לבצע את הפעולות הבאות:

• ציון חשבון שירות לשימוש של המכונה הווירטואלית
• מגדירים את מאפיין המטא-נתונים enable-workload-certificate לערך true.

• מציינים את פרטי ההגדרה של הנפקת האישור והגדרת האמון כמטא-נתונים של השותף.

הפעלת זהויות מנוהלות של עומסי עבודה במכונות וירטואליות קיימות

כדי להפעיל זהויות מנוהלות של עומסי עבודה במכונה וירטואלית קיימת, צריך לעדכן את המכונה הווירטואלית כדי להגדיר את הפרטים הבאים:

• אם למכונה הווירטואלית עדיין לא מחובר חשבון שירות, צריך ליצור חשבון שירות ולחבר אותו למכונה הווירטואלית.
• מגדירים את מאפיין המטא-נתונים enable-workload-certificate לערך true.
• מציינים את פרטי ההגדרות של הנפקת האישור והגדרות האמון כמטא-נתונים של השותף.

• מפעילים מחדש את ה-VM.

גישה לפרטי הכניסה של עומס עבודה במכונה וירטואלית של Linux

אחרי שמגדירים בהצלחה אימות מעומס עבודה לעומס עבודה באמצעות mTLS, אפשר לגשת לפרטי הכניסה שהונפקו במכונה הווירטואלית.

יש שתי דרכים לגשת לפרטי הכניסה של זהויות של עומסי עבודה מנוהלות ב-Compute Engine ולחבילת האישורים המשויכת:

• מערכת הקבצים במכונה הווירטואלית
• שרת המטא-נתונים של Compute Engine

גישה לפרטי הכניסה של עומס העבודה ולחבילת האישורים באמצעות מערכת הקבצים ב-VM

בשיטה הזו, פרטי הכניסה של X.509 וחבילת האישורים ממוקמים בנתיב ספציפי במערכת הקבצים של המכונה הווירטואלית. האפליקציות יכולות לקרוא ישירות את פרטי הכניסה ואת חבילת האישורים ממערכת הקבצים. דוגמאות לאופן אחזור פרטי הכניסה מופיעות בדוגמאות הבאות ב-GitHub:

• Go
• Java
• C++‎

המכונה הווירטואלית צריכה להריץ את סוכן האורח של Compute Engine בגרסה 20231103.01 ואילך. כדי לבדוק את הגרסה של סוכן האורח של Compute Engine במכונת ה-VM, מריצים את הפקודה הבאה:

gcloud beta compute instances get-serial-port-output INSTANCE_NAME \
   --zone=ZONE | grep "GCE Agent Started"

אם הגרסה של סוכן האורח היא מתחת ל-20231103.01, אפשר לעדכן אותה לפי ההוראות במאמר עדכון סביבת האורח.

כדי להפוך את פרטי הכניסה של עומס העבודה ואת חבילת האישורים לזמינים במערכת הקבצים של מכונה וירטואלית, צריך לבצע את השלבים הבאים:

1. מתקינים או מעדכנים את הסוכן האורח של Compute Engine לגרסה 20231103.01 ואילך. הסוכן של האורח מבצע את הפעולות הבאות:

   • אחזור אוטומטי של פרטי הכניסה וחבילת האישורים משרת המטא-נתונים של Compute Engine.
   • האפשרות הזו מבטיחה כתיבה אטומית למערכת הקבצים בזמן עדכון אישור X.509 והמפתח הפרטי התואם.
   • רענון אוטומטי של פרטי הכניסה וחבילת האישורים, למשל, כשמתבצעת רוטציה של אישורי mTLS.

2. אחרי שמתקינים או מעדכנים את סוכן האורח של Compute Engine במערכת ההפעלה של האורח, עבודת הרענון של עומס העבודה יוצרת את הספרייה /var/run/secrets/workload-spiffe-credentials ומגדירה את הרשאות הספרייה ל-0755 (rwxr-xr-x).

   הספרייה מכילה את הקבצים הבאים שנוצרו עם הרשאות 0644 (rw-r--r--):

   • ‫private_key.pem: מפתח פרטי בפורמט PEM
   • ‫certificates.pem: חבילה של אישורי X.509 בפורמט PEM שאפשר להציג למכונות וירטואליות אחרות כשרשרת אישורי הלקוח, או להשתמש בה כשרשרת אישורי שרת.

   • ‫ca_certificates.pem: חבילה של אישורי X.509 בפורמט PEM לשימוש כעוגני אמון בעת אימות האישורים של עמיתים.

     spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog
     

   • ‫config_status: קובץ יומן שמכיל הודעות שגיאה.

3. אפליקציות יכולות לקרוא את האישורים, את המפתח הפרטי ואת חבילת האישורים ממערכת הקבצים ישירות כדי ליצור חיבורי mTLS.

גישה לפרטי הכניסה של עומס העבודה ולחבילת האישורים באמצעות שרת המטא-נתונים

אפליקציה שפועלת במכונה וירטואלית ב-Compute Engine יכולה לשאול ישירות את נקודות הקצה של שרת המטא-נתונים ולאחזר את פרטי הכניסה ואת חבילת האישורים. האפליקציה אחראית לבדוק באופן תקופתי את נקודות הקצה של שרת המטא-נתונים כדי לראות אם יש פרטי כניסה חדשים ועדכונים בחבילת האישורים.

שרת המטא-נתונים של Compute Engine חושף שלוש נקודות קצה של HTTP כדי לאפשר לאפליקציות שפועלות בתוך המכונה הווירטואלית להשתמש בתכונה 'זהויות מנוהלות של עומסי עבודה'.

• ‫gce-workload-certificates/config-status: נקודת קצה שמכילה שגיאות בערכי ההגדרות שסופקו דרך המטא-נתונים של המכונה הווירטואלית.
• ‫gce-workload-certificates/workload-identities: נקודת קצה של זהויות שמנוהלות על ידי מישור הבקרה של Compute Engine. נקודת הקצה הזו מכילה את אישור X.509 ואת המפתח הפרטי של דומיין האמון של המכונה הווירטואלית.
• ‫gce-workload-certificates/trust-anchors: נקודת קצה שמכילה קבוצה של אישורים מהימנים לאימות שרשרת אישורי X.509 של עמיתים.

מידע נוסף על שאילתות לגבי מטא-נתונים של מכונה וירטואלית זמין במאמר מידע על מטא-נתונים של מכונות וירטואליות.

כדי לגשת לפרטי הכניסה של עומס העבודה ולחבילת האישורים באמצעות שרת המטא-נתונים, האפליקציה צריכה לבצע את הפעולות הבאות:

1. שולחים שאילתה לנקודת הקצה gce-workload-certificates/config-status. חשוב לוודא שקוד התגובה של HTTP הוא 200, ושהתגובה לא מכילה שגיאות מסוג partnerMetadataConfigsErrors. אם יש שגיאות כאלה, צריך לעדכן את ההגדרה המתאימה עם ערכים תקינים לפי השלבים שמוסברים במאמר עדכון ההגדרה של הנפקת אישורים ושל אמון.

   כדי לבדוק את הערך, אפשר להריץ את הפקודה הבאה במכונת ה-VM:

   curl "http://metadata.google.internal/computeMetadata/v1/instance/gce-workload-certificates/config-status" -H "Metadata-Flavor: Google"
   

   נקודת הקצה config-status מחזירה תגובת JSON עם המבנה הבא:

   {
       "partnerMetadataConfigsErrors": {
           "errors": {  // A map of errors keyed by attribute name.
               "ATTRIBUTE_NAME" : "ERROR_DETAILS",
               ...
           }
       }
   }
   

2. שולחים שאילתה לנקודת הקצה gce-workload-certificates/workload-identities. מוודאים שקוד התגובה של HTTP הוא 200. נקודת הקצה מחזירה תגובת JSON עם המבנה הבא:

   {
    "workloadCredentials": {  // Credentials for the VM's trust domains
      "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID": {
         "certificatePem" : "X.509 certificate or certificate chain",
         "privateKeyPem" : "Private for X.509 leaf certificate"
      }
    }
   }
   

   מחפשים את certificatePem ואת privateKeyPem. חשוב מאוד לקרוא את שני הערכים מאותה תגובה כדי למנוע חוסר התאמה בין המפתח הפרטי לבין המפתח הציבורי, במקרה שהתבצע רענון של זהויות מנוהלות של עומסי עבודה על ידי התשתית של Compute Engine.

3. שולחים שאילתה לנקודת הקצה gce-workload-certificates/trust-anchors. מוודאים שקוד התגובה של HTTP הוא 200. התשובה תכיל רק את נקודות העוגן של האמון עבור דומיין האמון של SPIFFE, אם הוא צוין. אחרת, השאילתה תחזיר שגיאה. נקודת הקצה trust-anchors מחזירה תגובת JSON עם המבנה הבא:

   {
       "trustAnchors": {  // Trust bundle for the VM's trust domains
           "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
               "trustAnchorsPem" : "Trust bundle containing the X.509
               roots certificates"
           }
       }
   }
   

   התוכן של trustAnchorsPem כולל את חבילת האמון שאפשר להשתמש בה כדי לאמת את פרטי הכניסה של עמית X.509 כשמקימים חיבור mTLS.

רענון של פרטי הכניסה וחבילת האישורים

מישור הבקרה של Compute Engine מבצע רוטציה אוטומטית של פרטי הכניסה של זהויות עומס העבודה המנוהלות ושל נקודות העוגן של האמון באופן תקופתי.

אם האפליקציות שלכם משתמשות במערכת הקבצים כדי לגשת לפרטי הכניסה של עומס העבודה ולחבילת האישורים, סוכן האורח של Compute Engine מרענן באופן אוטומטי את פרטי הכניסה ואת חבילת האישורים. לדוגמה, כשמתבצעת רוטציה של אישורי mTLS.

אם האפליקציות שלכם שולחות שאילתות לשרת המטא-נתונים, האפליקציות שפועלות במכונה וירטואלית צריכות לשלוח שאילתות לנקודות הקצה של שרת המטא-נתונים באופן תקופתי כדי לקבל את קבוצת האישורים העדכנית של זהויות מנוהלות של עומסי עבודה ואת חבילת האישורים. אם לא עושים את זה, יכולות להיות בעיות באפליקציות בגלל תפוגה של אישורים או שינויים בחבילת האישורים, מה שעלול לגרום לכך שלא יתבצע חיבור mTLS. ‫Google ממליצה שאפליקציות יבצעו שאילתה בשרת המטא-נתונים לגבי פרטי הכניסה של זהות עומס העבודה המנוהל וחבילת האישורים כל 5 דקות.

עדכון ההגדרות של הנפקת אישורים ושל אמון

אפשר לשנות את הגדרת הנפקת האישורים ואת הגדרת האמון של מכונת VM שמשתמשת בזהויות מנוהלות של עומסי עבודה.

עדכון תבנית של הגדרות מכונה של קבוצת מופעי מכונה מנוהלים

כדי לעדכן את הערכים של הגדרת הנפקת האישור והגדרת האמון בתבנית של הגדרות מכונה, צריך ליצור תבנית חדשה עם הערכים החדשים. לכן, עדכון הגדרת הנפקת האישורים והגדרת האמון בקבוצות קיימות של מופעים מנוהלים (MIG) אינו נתמך.

עדכון של מכונות וירטואליות ספציפיות ב-Compute Engine

כדי לעדכן את הגדרות הנפקת האישורים והגדרות האמון, מעדכנים את התוכן של קובץ CONFIGS.json ומשתמשים בפקודה gcloud beta compute instances update כדי להחיל את העדכונים:

gcloud beta compute instances update INSTANCE_NAME \
    --partner-metadata-from-file FILENAME.json

מחליפים את מה שכתוב בשדות הבאים:

• ‫INSTANCE_NAME: השם של המכונה הווירטואלית שערכי ההגדרות שלה מתעדכנים
• ‫FILENAME: השם של קובץ התצורה שהשתנה, לדוגמה CONFIGS.json

פתרון בעיות

כדי למצוא שיטות לאבחון ולפתרון שגיאות נפוצות שקשורות לאחזור פרטי כניסה של עומסי עבודה, אפשר לעיין במסמכי פתרון בעיות באימות מעומס עבודה לעומס עבודה.

המאמרים הבאים

• מידע נוסף על המושגים הבאים:
  • אימות ל-Compute Engine
  • הגדרת אימות מנוהל של זהויות לעומסי עבודה
  • תרחישים בסיסיים ליצירת קבוצות של מופעי מכונה מנוהלים (MIG)
  • הסוכן האורח של Compute Engine