Diese Seite wurde von der Cloud Translation API übersetzt.

OS Login in GKE aktivieren und konfigurieren

Standard

Auf dieser Seite wird beschrieben, wie Sie OS Login aktivieren und eine Organisationsrichtlinie konfigurieren, um OS Login für GKE Standard-Cluster und -Knoten zu erzwingen. Mit OS Login können Sie den SSH-Zugriff auf Ihre Instanzen mithilfe von IAM verwalten, ohne einzelne SSH-Schlüssel erstellen und verwalten zu müssen.

OS Login ist für Cluster im GKE Autopilot-Modus nicht verfügbar, da GKE die Knoten verwaltet.

Diese Seite richtet sich an Sicherheitsexperten, die OS Login-Richtlinien für GKE Standard-Cluster hinzufügen möchten, um sicherzustellen, dass alle VM-Instanzen standardmäßig OS Login verwenden. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud -Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und ‑Aufgaben.

Bevor Sie diese Seite lesen, sollten Sie sich mit der allgemeinen Übersicht zu OS Login vertraut machen.

Übersicht

Richten Sie eine OS Login-Einschränkung ein, um dafür zu sorgen, dass OS Login in Ihrer Organisation für alle neuen Projekte und VM-Instanzen aktiviert ist, die in diesen neuen Projekten erstellt werden. OS Login hat sich schnell zu einerGoogle Cloud Best Practice für die Sicherheit entwickelt. Wir empfehlen Ihnen, die Verwendung mit einer Organisationsrichtlinie durchzusetzen.

In der folgenden Anleitung wird beschrieben, wie Sie OS Login mithilfe einer Organisationsrichtlinie in GKE aktivieren.

Hinweise

Führen Sie die folgenden Aufgaben aus, bevor Sie beginnen:

Aktivieren Sie die Google Kubernetes Engine API.

Google Kubernetes Engine API aktivieren

Wenn Sie die Google Cloud CLI für diesen Task verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit dem Befehl gcloud components update ab. In früheren gcloud CLI-Versionen werden die Befehle in diesem Dokument möglicherweise nicht unterstützt.
Hinweis: Legen Sie für vorhandene Installationen der gcloud CLI das compute/region-Attribut fest. Wenn Sie hauptsächlich zonale Cluster verwenden, legen Sie stattdessen compute/zone fest. Wenn Sie einen standardmäßigen Speicherort festlegen, können Sie in der gcloud CLI Fehler wie diesen vermeiden: One of [--zone, --region] must be supplied: Please specify location. Bei bestimmten Befehlen müssen Sie möglicherweise den Speicherort angeben, wenn er sich von dem von Ihnen festgelegten Standard unterscheidet.

Vorhandene Projekte zur Verwendung von OS Login aktualisieren

Migrieren Sie vor dem Festlegen der Organisationsrichtlinie alle vorhandenen Cluster, um OS Login zu verwenden.

Aktivieren Sie OS Login standardmäßig auf allen vorhandenen und neuen VM-Instanzen. Setzen Sie dazu das Flag enable-oslogin auf TRUE. Sie müssen den Knoten nicht neu starten.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Achtung: Bei Aktivierung von OS Login auf Instanzen werden metadatenbasierte SSH-Schlüsselkonfigurationen für die betreffenden Instanzen deaktiviert. Bei Deaktivierung von OS Login werden die SSH-Schlüssel wiederhergestellt, die Sie in Projekt- oder Instanzmetadaten konfiguriert haben.

Organisationsrichtlinie für OS Login festlegen

So legen Sie die OS Login-Einschränkung auf Organisationsebene fest:

Rufen Sie Ihre Organisations-ID mit dem folgenden Befehl auf:
```
gcloud organizations list
```

Organisationsrichtlinie für OS Login festlegen. Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Nachdem die Organisationsrichtlinie festgelegt wurde, gelten die folgenden Bedingungen:

enable-oslogin ist in den Projektmetadaten für alle neuen Projekte auf true eingestellt.
Aktualisierungsanfragen zum Festlegen von enable-oslogin auf false in Instanz- oder Projektmetadaten werden abgelehnt.

Knotenzugriff verwalten

Sobald Sie die Organisationsrichtlinie für OS Login aktiviert haben, müssen Sie keine SSH-Schlüssel für Autorisierungsentscheidungen mehr verwalten. OS Login verschiebt die Autorisierungsverwaltung in zu Identity and Access Management. Verwenden Sie OS Login, um den SSH-Zugriff auf Knoten zu verwalten. Weitere Informationen finden Sie unter OS Login einrichten.