Menjalankan agen VM di setiap node GKE di seluruh organisasi

Halaman ini menjelaskan cara memastikan VM Manager diaktifkan di semua instance Compute Engine, termasuk VM Google Kubernetes Engine di organisasi, folder, atau project, dengan menggunakan Organization Policy Service.

Panduan ini ditujukan untuk tim keamanan yang ingin memastikan semua program yang diperlukan, seperti agen keamanan dan pemantauan, berjalan di semua instance dalam organisasi, folder, atau project. Untuk menerapkan konfigurasi hanya dengan Kebijakan Organisasi, gunakan panduan ini. Untuk pendekatan config-as-code, gunakan Config Sync. Config Sync memungkinkan Anda mengonfigurasi dan mengontrol banyak aspek cluster serta memberikan nilai di luar kebijakan organisasi.

Sebelum membaca halaman ini, pastikan Anda sudah memahami batasan VM Manager dan Resource Manager.

Panduan ini menunjukkan cara menerapkan penggunaan VM Manager di setiap project di seluruh organisasi atau folder. Panduan ini tidak menunjukkan cara menyiapkan dan menggunakan VM Manager dengan kebijakan OS. Untuk mengetahui petunjuk tersebut, lihat Membuat penetapan kebijakan OS.

Tentang VM Manager

VM Manager adalah serangkaian alat yang dapat mengelola sistem operasi untuk fleet virtual machine (VM) besar yang menjalankan Windows dan Linux di Compute Engine. Anda dapat menggunakan VM Manager untuk menerapkan kebijakan OS guna menyesuaikan program yang berjalan di VM. Misalnya, Anda dapat menentukan kebijakan untuk menginstal agen di resource dan menggunakan kembali kebijakan tersebut di beberapa resource. VM Manager dinonaktifkan secara default di Google Cloud project.

Anda dapat menentukan tempat VM Manager menerapkan kebijakan menggunakan OSPolicyAssignments, yang memungkinkan Anda mencakup kebijakan OS ke VM tertentu menggunakan pemilih. Misalnya, semua VM node GKE memiliki label goog-gke-node, yang dapat Anda targetkan dengan penetapan kebijakan OS.

Kebijakan organisasi dan VM Manager

Jika Google Cloud organisasi Anda memiliki beberapa tingkat hierarki seperti folder dan sub-folder, mengaktifkan VM Manager di semua project ini secara manual dapat menyebabkan overhead pengelolaan yang tidak perlu. Anda dapat mewajibkan semua project di seluruh folder atau organisasi untuk mengaktifkan VM Manager di semua VM menggunakan Organization Policy Service dengan batasan constraints/compute.requireOsConfig. Beberapa manfaat penerapan VM Manager menggunakan kebijakan organisasi mencakup hal berikut:

  • Semua project baru menambahkan label metadata enable-osconfig=TRUE ke setiap project dan VM.
  • Jika ada yang mencoba menghapus label ini atau menetapkannya ke nilai selain true, perubahan tersebut akan ditolak.
  • Jika ada yang mencoba membuat atau mengupdate VM dengan cara yang menetapkan kunci metadata enable-osconfig ke nilai selain true, perubahan tersebut akan ditolak.

Sebelum memulai

Sebelum memulai, pastikan Anda telah melakukan tugas berikut:

  • Aktifkan Google Kubernetes Engine API.
    • Aktifkan Google Kubernetes Engine API
  • Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu lakukan inisialisasi gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan perintah gcloud components update. Versi gcloud CLI yang lebih lama mungkin tidak mendukung perintah yang dijalankan dalam dokumen ini.
  • Pastikan Anda sudah menggunakan VM Manager dengan kebijakan OS dan penetapan kebijakan OS untuk menjalankan agen di VM. Untuk mengetahui petunjuknya, lihat Membuat penetapan kebijakan OS.

  • Aktifkan Cloud Resource Manager API, OS Config API.

    Peran yang diperlukan untuk mengaktifkan API

    Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

    Aktifkan API

Batasan

Kebijakan organisasi constraints/compute.requireOsConfig memiliki batasan berikut:

  • Resource dengan pelanggaran yang sudah ada tidak diubah oleh kebijakan organisasi baru. Anda dapat menetapkan metadata untuk kebijakan secara manual atau menggunakan gcloud pada resource yang ada.
  • Siapa pun yang memiliki izin untuk mengubah metadata pada instance Compute Engine di project dapat menonaktifkan osconfig-agent di VM dengan menetapkan kolom metadata osconfig-disabled-features.
  • Jika osconfig-agent tidak berjalan, VM akan ditampilkan sebagai tidak mematuhi di dasbor VM Manager. Misalnya, hal ini dapat terjadi jika pengguna menonaktifkan agen secara manual.

Peran yang diperlukan

Guna mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Organization policy administrator (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengaktifkan compute.requireOsConfig di seluruh organisasi

Setelah mengaktifkan VM Manager dan mencakup OSPolicyAssignment ke VM, Anda dapat memastikan VM Manager diaktifkan secara default di project baru mana pun dengan kebijakan organisasi constraints/compute.requireOsConfig. Cara Anda menerapkan constraints/compute.requireOsConfig bergantung pada versi API yang Anda gunakan.

Organization Policy v2 API

Anda dapat menerapkan batasan constraints/compute.requireOsConfig di seluruh Google Cloud resource seperti folder atau organisasi menggunakan gcloud CLI atau Google Cloud konsol.

gcloud

  1. Konfirmasi bahwa batasan compute.requireOsConfig belum diterapkan:

    gcloud org-policies describe \
    constraints/compute.requireOsConfig \
    --organization=ORGANIZATION_ID

    Ganti ORGANIZATION_ID dengan ID Organisasi Anda.

    Jika kebijakan tidak ditetapkan, perintah ini akan menampilkan error NOT_FOUND:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.

    Jika kebijakan ada, perintah akan menampilkan kebijakan saat ini. Penerapan kebijakan baru akan menimpa kebijakan yang ada, jika ada.

  2. Buat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

    name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

  3. Jalankan perintah set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

  4. Konfirmasi bahwa kebijakan baru diterapkan:

    gcloud org-policies describe \
    constraints/compute.requireOsConfig --effective \
    --organization=ORGANIZATION_ID

    Output perintah ini akan mirip dengan berikut ini:

    name: organizations/ORGANIZATION_ID/policies/constraints/compute.requireOsConfig
spec:
  rules:
  - enforce: true

konsol

  1. Di Google Cloud konsol, buka halaman Organization policies.

    Buka Organization policies

  2. Dari pemilih project, pilih project, folder, atau organisasi yang ingin Anda edit kebijakan organisasinya.

  3. Di halaman Organization policies, gunakan filter untuk menelusuri compute.requireOsConfig.

  4. Klik nama kebijakan untuk membuka halaman Policy Details.

  5. Klik Manage policy untuk mengupdate kebijakan organisasi untuk resource ini.

  6. Di halaman Edit policy, pilih Override parent's policy.

  7. Pilih Add a rule.

  8. Di bagian Enforcement, ubah penerapan kebijakan organisasi ini menjadi on.

  9. Untuk menerapkan kebijakan, klik Set policy.

Resource Manager v1 API

  1. Konfirmasi bahwa batasan compute.requireOsConfig belum diterapkan:

    gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID

    Ganti ORGANIZATION_ID dengan ID Organisasi Anda.

    Jika kebijakan tidak ditetapkan, perintah ini akan menampilkan kebijakan yang tidak lengkap, seperti contoh berikut:

    constraint: "constraints/compute.requireOsConfig"
etag: BwVJi0OOESU=

    Jika kebijakan ada, perintah akan menampilkan kebijakan saat ini. Penerapan kebijakan baru akan menimpa kebijakan yang ada, jika ada.

  2. Tetapkan kebijakan untuk diterapkan di organisasi:

    gcloud resource-manager org-policies enable-enforce constraints/compute.requireOsConfig \
    --organization ORGANIZATION_ID

    Output perintah ini akan mirip dengan berikut ini:

    booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig
etag: BwVJitxdiwY=

  3. Konfirmasi bahwa kebijakan baru diterapkan:

    gcloud resource-manager org-policies describe constraints/compute.requireOsConfig \
    --effective \
    --organization ORGANIZATION_ID

    Output perintah ini akan mirip dengan berikut ini:

    booleanPolicy:
  enforced: true
constraint: constraints/compute.requireOsConfig

Perubahan pada kebijakan organisasi dapat memerlukan waktu hingga 15 menit agar sepenuhnya diterapkan.

Untuk mengetahui informasi selengkapnya tentang kebijakan lain yang dapat Anda terapkan, atau cara mengubah atau menghapus kebijakan, lihat dokumentasi Resource Manager.

Langkah berikutnya

Pelajari lebih lanjut logging audit GKE.