Esta página explica como ativar o início de sessão do SO e configurar uma política organizacional para aplicar o início de sessão do SO a clusters e nós do modo padrão do GKE. Pode usar o Início de sessão do SO para gerir o acesso SSH às suas instâncias através do IAM sem ter de criar e gerir chaves SSH individuais.
O início de sessão no SO não está disponível para clusters no modo Autopilot do GKE porque o GKE gere os nós.
Esta página destina-se a especialistas em segurança que querem adicionar políticas de início de sessão do SO em clusters padrão do GKE para garantir que todas as instâncias de VM têm o início de sessão do SO por predefinição. Para saber mais acerca das funções comuns e das tarefas de exemplo que referimos no Google Cloud conteúdo, consulte o artigo Funções e tarefas comuns de utilizadores do GKE.
Antes de ler esta página, certifique-se de que conhece a vista geral do início de sessão do SO.
Vista geral
Pode configurar uma restrição de início de sessão do SO na sua organização para garantir que todos os novos projetos e as instâncias de VM criadas nestes novos projetos têm o início de sessão do SO ativado. O Início de sessão no SO tornou-se rapidamente uma Google Cloud prática recomendada de segurança, pelo que recomendamos que imponha a sua utilização através de uma política da organização.
As instruções seguintes detalham como ativar o Início de sessão do SO através de uma política da organização no GKE.
Antes de começar
Antes de começar, certifique-se de que realizou as seguintes tarefas:
- Ative a API Google Kubernetes Engine. Ative a API Google Kubernetes Engine
- Se quiser usar a CLI gcloud para esta tarefa,
instale-a e, em seguida,
inicialize-a. Se instalou anteriormente a CLI gcloud, execute o comando
gcloud components updatepara obter a versão mais recente. As versões anteriores da CLI gcloud podem não suportar a execução dos comandos neste documento.
Atualize projetos existentes para usar o Início de sessão do SO
Antes de definir a política da organização, migre todos os clusters existentes para usar o OS Login.
Ative o início de sessão no SO em todas as instâncias de VMs existentes e novas por predefinição definindo a flag
enable-oslogincomoTRUE. Não precisa de reiniciar o nó.gcloud compute project-info add-metadata --metadata enable-oslogin=TRUE
Defina a política da organização do Início de sessão do SO
Para definir a restrição de início de sessão do SO ao nível da organização, faça o seguinte:
Encontre o ID da sua organização executando o seguinte comando:
gcloud organizations listDefina a política da organização do Início de sessão do SO. Substitua
ORGANIZATION_IDpelo ID da sua organização.gcloud resource-manager org-policies enable-enforce \ compute.requireOsLogin \ --organization=ORGANIZATION_ID
Após a definição da política da organização, são aplicadas as seguintes condições:
enable-osloginestá definido comotruenos metadados do projeto para todos os novos projetos.- Os pedidos de atualização para definir
enable-oslogincomofalsenos metadados da instância ou do projeto são rejeitados.
Faça a gestão do acesso ao nó
Depois de ativar a política da organização OS Login, já não precisa de gerir chaves SSH para tomar decisões de autorização. O início de sessão no SO move a gestão de autorizações para a gestão de identidade e acesso. Para gerir o acesso SSH aos nós, use o Início de sessão do SO. Para mais detalhes, consulte o artigo Configurar o Início de sessão do SO.
O que se segue?
- Saiba mais sobre o serviço de início de sessão do SO.
- Saiba como resolver problemas com o Início de sessão do SO.