Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Attiva e configura OS Login in GKE

Standard

Questa pagina spiega come abilitare OS Login e configurare una policy dell'organizzazione per applicare OS Login per i cluster e i nodi in modalità GKE Standard. Puoi utilizzare OS Login per gestire l'accesso SSH alle istanze utilizzando IAM senza dover creare e gestire singole chiavi SSH.

OS Login non è disponibile per i cluster in modalità GKE Autopilot perché GKE gestisce i nodi.

Questa pagina è rivolta agli specialisti della sicurezza che vogliono aggiungere policy OS Login ai cluster GKE Standard per assicurarsi che tutte le istanze VM abbiano OS Login per impostazione predefinita. Per saperne di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività comuni degli utenti GKE.

Prima di leggere questa pagina, assicurati di conoscere la panoramica generale di OS Login.

Panoramica

Puoi configurare un vincolo OS Login nella tua organizzazione per assicurarti che tutti i nuovi progetti e le istanze VM create in questi nuovi progetti abbiano OS Login abilitato. OS Login è diventato rapidamente una Google Cloud best practice di sicurezza, che consiglia di applicarne l'utilizzo tramite una policy dell'organizzazione.

Le seguenti istruzioni descrivono in dettaglio come abilitare OS Login utilizzando una policy dell'organizzazione in GKE.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

Abilita l'API Google Kubernetes Engine.

Abilita l'API Google Kubernetes Engine

Se vuoi utilizzare Google Cloud CLI per questa attività, installala e poi inizializza gcloud CLI. Se hai installato in precedenza gcloud CLI, scarica l'ultima versione eseguendo il gcloud components update comando. Le versioni precedenti di gcloud CLI potrebbero non supportare l'esecuzione dei comandi in questo documento.
Nota: per le installazioni esistenti di gcloud CLI assicurati di impostare la compute/region proprietà. Se utilizzi principalmente cluster zonali, imposta invece compute/zone. Se imposti una località predefinita, puoi evitare errori in gcloud CLI come il seguente: One of [--zone, --region] must be supplied: Please specify location. Potresti dover specificare la posizione in determinati comandi se la posizione del cluster è diversa da quella predefinita che hai impostato.

Aggiorna i progetti esistenti per utilizzare OS Login

Prima di impostare la policy dell'organizzazione, esegui la migrazione di tutti i cluster esistenti per utilizzare OS Login.

Abilita OS Login per impostazione predefinita su tutte le istanze VM esistenti e nuove impostando il flag enable-oslogin su TRUE. Non è necessario riavviare il nodo.
```
gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
```
Attenzione: l'abilitazione di OS Login sulle istanze disabilita le configurazioni delle chiavi SSH basate su metadati su queste istanze. La disabilitazione di OS Login ripristina le chiavi SSH che hai configurato nei metadati del progetto o dell'istanza.

Imposta la policy dell'organizzazione di OS Login

Per impostare il vincolo OS Login a livello di organizzazione:

Trova l'ID organizzazione eseguendo il seguente comando:
```
gcloud organizations list
```

Imposta la policy dell'organizzazione di OS Login. Sostituisci ORGANIZATION_ID con l'ID organizzazione.

gcloud resource-manager org-policies enable-enforce \
    compute.requireOsLogin \
    --organization=ORGANIZATION_ID

Dopo aver impostato la policy dell'organizzazione, vengono applicate le seguenti condizioni:

enable-oslogin è impostato su true nei metadati del progetto per tutti i nuovi progetti.
Le richieste di aggiornamento per impostare enable-oslogin su false nei metadati di istanza o progetto vengono rifiutate.

Gestisci l'accesso ai nodi

Dopo aver abilitato la policy dell'organizzazione di OS Login, non devi più gestire le chiavi SSH per prendere decisioni di autorizzazione. OS Login sposta la gestione delle autorizzazioni in Identity and Access Management. Per gestire l'accesso SSH ai nodi, utilizza OS Login. Per maggiori dettagli, consulta Configurazione di OS Login.

Passaggi successivi

Scopri di più sul servizio OS Login.
Scopri come risolvere i problemi relativi a OS Login.