Controla la admisión de cargas de trabajo privilegiadas en el modo Autopilot

Autopilot

Puedes ejecutar cargas de trabajo con privilegios en el modo Autopilot de Google Kubernetes Engine (GKE) instalando listas de entidades permitidas para esas cargas de trabajo en tus clústeres. En este documento, se muestra cómo completar las siguientes tareas:

Configura GKE para que ejecute solo cargas de trabajo privilegiadas específicas en el modo Autopilot.
Instala listas de entidades permitidas para cargas de trabajo con privilegios.

Este documento está dirigido a los siguientes tipos de roles:

Ingenieros de seguridad que desean asegurarse de que las cargas de trabajo de terceros necesiten una lista de entidades permitidas para ejecutarse en sus clústeres y provengan de fuentes aprobadas por GKE
Ingenieros de plataformas que desean habilitar cargas de trabajo de terceros en clústeres para desbloquear equipos de aplicaciones

Ya debes conocer los siguientes conceptos:

Acerca de las cargas de trabajo con privilegios en Autopilot

El modo Autopilot aplica un conjunto predeterminado de restricciones en las cargas de trabajo para mejorar tu postura de seguridad. Puedes modificar estas restricciones para ejecutar cargas de trabajo privilegiadas específicas. Para ello, instala listas de entidades permitidas que correspondan a esas cargas de trabajo. De forma predeterminada, Autopilot te permite instalar listas de entidades permitidas de socios de Autopilot y proyectos de código abierto específicos. Los clientes de GKE que cumplan con los requisitos también pueden crear listas de entidades permitidas para las cargas de trabajo privilegiadas propiedad del cliente que suban a los buckets de Cloud Storage.

Cada lista de entidades permitidas es un archivo que coincide con una carga de trabajo privilegiada específica. Para ejecutar una carga de trabajo privilegiada, haz lo siguiente:

Configura el clúster para permitir la instalación de listas de entidades permitidas desde rutas de acceso específicas. De forma predeterminada, se admiten todas las listas de entidades permitidas de los socios de Autopilot y los proyectos de código abierto aprobados.
Crea un objeto AllowlistSynchronizer en el clúster que instale la lista de entidades permitidas y la mantenga actualizada.

Errores y solicitudes de funciones para cargas de trabajo privilegiadas y listas de entidades permitidas

El propietario de una carga de trabajo privilegiada es responsable de crear, desarrollar y mantener sus cargas de trabajo y listas de entidades permitidas. Si encuentras un error o tienes una solicitud de función para una carga de trabajo privilegiada o una lista de entidades permitidas, comunícate con el propietario correspondiente.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

Habilita la API de Google Kubernetes Engine.

Habilitar la API de Google Kubernetes Engine

Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta el comando gcloud components update para obtener la versión más reciente. Es posible que las versiones anteriores de gcloud CLI no admitan la ejecución de los comandos que se describen en este documento.
Nota: Para las instalaciones de gcloud CLI existentes, asegúrate de configurar la propiedad compute/region. Si usas principalmente clústeres zonales, configura compute/zone en su lugar. Cuando configuras una ubicación predeterminada, puedes evitar errores en gcloud CLI como el siguiente: One of [--zone, --region] must be supplied: Please specify location. Es posible que debas especificar la ubicación en ciertos comandos si la ubicación de tu clúster difiere de la predeterminada que estableciste.

Verifica que puedas configurar clústeres para instalar listas de entidades permitidas desde la fuente seleccionada. Los administradores de la organización pueden usar una política de la organización para controlar las rutas de acceso que puedes agregar a un clúster. Para obtener más información, consulta Restricción administrada del Servicio de políticas de la organización para listas de entidades permitidas.
En el caso de las cargas de trabajo privilegiadas propiedad del cliente que están disponibles para los clientes de GKE aptos, verifica las dos condiciones siguientes:
- El administrador de tu organización agregó la ruta de acceso del bucket de la lista de entidades permitidas a una política de la organización. Para obtener más información, consulta Restringe las cargas de trabajo privilegiadas de GKE en las organizaciones.
- La lista de entidades permitidas que deseas instalar se encuentra en el bucket de Cloud Storage. Para obtener más información, consulta Crea listas de entidades permitidas para cargas de trabajo con privilegios de Autopilot.

Requisitos

El recurso personalizado AllowlistSynchronizer requiere la versión 1.32.2-gke.1652000 de GKE o una posterior.
Debes saber qué carga de trabajo privilegiada deseas ejecutar en tu clúster.
Para modificar la configuración de la ruta de acceso a la lista de entidades permitidas de un clúster, este debe ejecutar la versión 1.35 o posterior de GKE.

Configura rutas de acceso a la lista de entidades permitidas para un clúster

En esta sección, se muestra cómo configurar un clúster para que admita la instalación de listas de entidades permitidas desde un conjunto de rutas aprobadas. De forma predeterminada, Autopilot admite la instalación de listas de entidades permitidas de socios de GKE y proyectos de código abierto aprobados. Puedes modificar esta configuración predeterminada para clústeres individuales. También puedes especificar fuentes de lista de entidades permitidas aprobadas para toda una organización, carpeta o proyecto con una política de la organización.

Identifica las rutas de acceso a los archivos de la lista de entidades permitidas que se agregarán al clúster. Puedes especificar varias rutas de acceso cuando creas o actualizas tu clúster. También puedes inhabilitar la instalación de la lista de entidades permitidas desde cualquier fuente si especificas una cadena vacía en lugar de una ruta de acceso. Para obtener más información sobre las rutas que puedes especificar, consulta Rutas de la lista de entidades permitidas.
Para controlar las fuentes de la lista de entidades permitidas aprobadas para un clúster, usa la marca --autopilot-privileged-admission cuando crees o actualices un clúster de Autopilot o Standard, como en el siguiente comando:
```
gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --autopilot-privileged-admission=ALLOWLIST1_PATH,ALLOWLIST2_PATH,...
```
Reemplaza lo siguiente:
- CLUSTER_NAME: Es el nombre del clúster nuevo.
- LOCATION: Es la ubicación del plano de control del clúster, como us-central1.
- ALLOWLIST1_PATH,ALLOWLIST2_PATH,...: Es una lista separada por comas de rutas de acceso a archivos o directorios de la lista de entidades permitidas. Por ejemplo, gke://*,gs://my-agent/privileged-logging-agent.yaml. También puedes inhabilitar la instalación de la lista de entidades permitidas desde cualquier fuente especificando una cadena vacía ("").
  
  Precaución: La ruta de acceso gke://* permite WorkloadAllowlists de todas las fuentes aprobadas por GKE, que es el comportamiento predeterminado de Autopilot. Si omites este valor cuando usas la marca --autopilot-privileged-admission, el clúster no podrá ejecutar ninguna lista de entidades permitidas aprobada por GKE.

Si actualizas un clúster existente sin especificar la marca --autopilot-privileged-admission, no se cambiará la configuración de ruta de acceso existente para ese clúster. No es necesario que especifiques esta marca cada vez que actualices un clúster.

Una vez que se complete la operación de creación o actualización del clúster, puedes instalar listas de entidades permitidas desde las rutas de acceso especificadas creando AllowlistSynchronizers.

Crea un nuevo AllowlistSynchronizer

Para ejecutar una carga de trabajo con privilegios, agrega la ruta de acceso al archivo de lista de entidades permitidas correspondiente a una especificación de AllowlistSynchronizer en un archivo YAML. Luego, implementa el AllowlistSynchronizer en tu clúster.

En un editor de texto, crea un nuevo archivo YAML.
Agrega el siguiente contenido al archivo YAML:
```
apiVersion: auto.gke.io/v1
kind: AllowlistSynchronizer
metadata:
  name: ALLOWLIST_SYNCHRONIZER_NAME
spec:
  allowlistPaths:
  - ALLOWLIST1_PATH
  - ALLOWLIST2_PATH
```
Reemplaza lo siguiente:
- ALLOWLIST_SYNCHRONIZER_NAME: Es el nombre del nuevo sincronizador. Elige un nombre descriptivo que identifique la carga de trabajo o el equipo que admite la lista de entidades permitidas.
- ALLOWLIST1_PATH, ALLOWLIST2_PATH, ...: Una lista de rutas de acceso a archivos o directorios de la lista de entidades permitidas que deseas instalar, como en el siguiente ejemplo para las listas de entidades permitidas aprobadas por GKE:
```
allowlistPaths:
- Gke-Org/accelerators/*
- Wiz/wiz-sensor/v1/wiz-sensor-v1.yaml
```
  O en el siguiente ejemplo para las listas de entidades permitidas propiedad del cliente:
```
allowlistPaths:
- my-agent/log-collector/*
- my-agent/privileged-logging-agent.yaml
```
  La configuración del clúster debe admitir las rutas de acceso que especifiques, como se describe en la sección Configura rutas de acceso a la lista de entidades permitidas para un clúster. Además, cada AllowlistSynchronizer debe contener exclusivamente listas de entidades permitidas aprobadas por GKE o exclusivamente listas de entidades permitidas propiedad del cliente.
Si instalas listas de entidades permitidas desde un bucket de Cloud Storage propiedad del cliente, agrega los campos spec.projectNumber y spec.bucketName a tu AllowlistSynchronizer. Para obtener más detalles, consulta la CustomResourceDefinition de AllowlistSynchronizer.
Implementa el archivo YAML en tu clúster:
```
kubectl apply -f PATH_TO_YAML_FILE
```
Reemplaza PATH_TO_YAML_FILE por la ruta de acceso al archivo YAML que creaste en el paso anterior.

El controlador AllowlistSynchronizer instala archivos de lista de entidades permitidas desde las rutas de acceso especificadas en tu clúster.

Espera hasta que el sincronizador informe un estado Ready:

kubectl wait --for=condition=Ready allowlistsynchronizer/ALLOWLIST_SYNCHRONIZER_NAME \
    --timeout=60s

También puedes integrar la instalación de la lista de entidades permitidas y la implementación de cargas de trabajo privilegiadas en tu canalización de integración continua y de implementación continua (CI/CD). Configura tu flujo de trabajo para que espere hasta que se instale correctamente la lista de entidades permitidas antes de implementar la carga de trabajo correspondiente.

Actualiza un AllowlistSynchronizer existente

Puedes actualizar un AllowlistSynchronizer existente para agregar o quitar archivos de la lista de entidades permitidas. Puedes actualizar los sincronizadores existentes en situaciones como las siguientes:

El propietario de la carga de trabajo agrega un nuevo archivo de lista de entidades permitidas con un nombre diferente.
Quieres agregar una nueva lista de entidades permitidas de cargas de trabajo a un sincronizador existente que agrupa listas de entidades permitidas relacionadas.
Quieres quitar una lista de entidades permitidas de un sincronizador porque ya no quieres usar la carga de trabajo correspondiente.

Para actualizar un objeto AllowlistSynchronizer existente, haz lo siguiente:

Enumera los sincronizadores existentes en tu clúster:
```
kubectl get allowlistsynchronizer
```
Abre la especificación del sincronizador que deseas actualizar en un editor de texto.

Práctica recomendada: Para asegurarte de hacer un seguimiento de los cambios en los sincronizadores, actualiza el archivo YAML que usaste para crear el sincronizador. Almacena estos archivos en un sistema de control de versión.
Actualiza el campo spec.allowlistPaths para agregar, modificar o quitar rutas de acceso a archivos de la lista de entidades permitidas.
Guarda y cierra el editor de texto.
Aplica la configuración actualizada al clúster:
```
kubectl apply -f PATH_TO_YAML_FILE
```
Reemplaza PATH_TO_YAML_FILE por la ruta de acceso al archivo YAML que actualizaste en el paso anterior.

Cuando implementas una configuración del sincronizador actualizada, el campo managedAllowlistStatus.generation en el estado del objeto AllowlistSynchronizer aumenta en uno. Luego, el controlador AllowlistSynchronizer aplica los cambios.

Supervisa el estado de la sincronización de la lista de entidades permitidas

Después de instalar un AllowlistSynchronizer o actualizar un sincronizador existente, puedes supervisar el estado de la sincronización. El estado te ayuda a hacer un seguimiento de la instalación, la eliminación o las modificaciones de los archivos de la lista de entidades permitidas, así como de los errores que puedan ocurrir.

Para supervisar el estado general de la sincronización, ejecuta el siguiente comando:

kubectl get allowlistsynchronizer ALLOWLIST_SYNCHRONIZER_NAME -o yaml

El resultado es similar a lo siguiente:

...
status:
  conditions:
  - type: Ready
    status: "False"
    reason: "SyncError"
    message: "some allowlists failed to sync: example-allowlist-1.yaml"
    lastTransitionTime: "2024-10-12T10:00:00Z"
    observedGeneration: 2
  managedAllowlistStatus:
    - filePath: "gs://path/to/example-allowlist-2.yaml"
      generation: 1
      phase: Installed
      lastSuccessfulSync: "2024-10-10T10:00:00Z"
    - filePath: "gs://path/to/example-allowlist-1.yaml"
      phase: Failed
      lastError: "Initial install failed: invalid contents"
      lastSuccessfulSync: "2024-10-08T10:00:00Z"

En este ejemplo de resultado, no se pudo sincronizar la lista de entidades permitidas example-allowlist-1.yaml y se instaló correctamente la lista de entidades permitidas example-allowlist-2.yaml. Para obtener una descripción de estos campos, consulta Estado de AllowlistSynchronizer.

Verifica que exista una lista de entidades permitidas en tu clúster

Para verificar que exista una lista de entidades permitidas en tu clúster, ejecuta el siguiente comando:

kubectl get workloadallowlist

El resultado es una lista de las listas de entidades permitidas instaladas en el clúster. Verifica que el resultado incluya la lista de entidades permitidas que deseas usar.

Implementa la carga de trabajo con privilegios

Después de que se instale correctamente una lista de entidades permitidas, puedes implementar la carga de trabajo correspondiente en tu clúster. El propietario de la carga de trabajo también debe proporcionarte instrucciones de instalación para la carga de trabajo. Para obtener una lista de los socios de Autopilot y vínculos a su documentación, consulta Socios de Autopilot.

Usa repositorios de duplicación de imágenes privados

Puedes duplicar las imágenes de contenedor de cargas de trabajo privilegiadas en repositorios privados que te pertenezcan. Para ejecutar estas imágenes duplicadas en una carga de trabajo, debes cumplir con todos los siguientes requisitos:

El resumen SHA-256 de la imagen duplicada debe coincidir con el resumen de la imagen de la carga de trabajo disponible públicamente.
El resumen de la imagen SHA-256 que especifiques debe existir en el objeto WorkloadAllowlist que se sincroniza con tu clúster.

Si la carga de trabajo admite imágenes duplicadas, la especificación de la lista de entidades permitidas para esa carga de trabajo contiene una lista de resúmenes de imágenes en el campo containers.imageDigests de la especificación de la lista de entidades permitidas para esa carga de trabajo. Por lo general, este campo tiene un resumen independiente para cada versión disponible de la imagen del contenedor. Para ver esta lista de resúmenes de imágenes, haz lo siguiente:

Verifica que la lista de entidades permitidas exista en tu clúster.
Obtén la especificación de la lista de entidades permitidas instalada:
```
kubectl get workloadallowlist ALLOWLIST_NAME -o yaml
```
Reemplaza ALLOWLIST_NAME por el nombre de la lista de entidades permitidas instalada. Por ejemplo, company-name-solution-v1.0.0

Para las cargas de trabajo que admiten esta función, el resultado es similar al siguiente. El campo imageDigests tiene una lista de resúmenes permitidos.
```
# lines omitted for clarity
- containerName: pause-container1
  imageDigests:
  - cb5c1bddd1b5665e1867a7fa1b5fa843a47ee433bbb75d4293888b71def53229
  - 932ea160d395f3d7f76c0c17a52a63c4cfe1836a900f1058b6bc20b16fd10d23
```
Si el resultado no incluye un campo imageDigests o si el resumen de la versión que quieres usar no está en la lista, comunícate directamente con el propietario de la carga de trabajo y pídele que actualice su lista de entidades permitidas. Después de que el propietario de la carga de trabajo agregue resúmenes de imágenes a su lista de entidades permitidas, el sincronizador de la lista de entidades permitidas de tu clúster instalará automáticamente la lista de entidades permitidas actualizada.
Agrega uno de los resúmenes de imágenes admitidos a tu manifiesto de carga de trabajo.

Por ejemplo, considera la siguiente imagen en una especificación de Pod disponible públicamente de un socio:

...
  containers:
  - name: pause-container1
    image: partner-repo/pause1@sha256:cb5c1bddd1b5665e1867a7fa1b5fa843a47ee433bbb75d4293888b71def53229
    securityContext:
      privileged: true

Puedes usar una imagen duplicada si el resumen coincide con el resumen disponible públicamente, como en el siguiente ejemplo:

...
  containers:
  - name: pause-container1
    image: my-private-repo/pause1@sha256:cb5c1bddd1b5665e1867a7fa1b5fa843a47ee433bbb75d4293888b71def53229
    securityContext:
      privileged: true

Debes incluir el resumen SHA-256 en el campo de la imagen, de manera similar al ejemplo anterior. Si los resúmenes no coinciden, la imagen duplicada no se ejecutará. Para conservar los resúmenes de imágenes cuando dupliques imágenes de socios, considera usar una herramienta como crane, ORAS o skopeo.

Borra una carga de trabajo privilegiada

Para dejar de permitir que una carga de trabajo privilegiada se ejecute en tus clústeres, quita la ruta de acceso a la lista de entidades permitidas correspondiente de tu AllowlistSynchronizer. El sincronizador desinstala la lista de entidades permitidas.

Si borras un objeto WorkloadAllowlist de tu clúster en lugar de actualizar el sincronizador, este volverá a instalar la lista de entidades permitidas. Asegúrate de quitar la ruta de AllowlistSynchronizer.

Para desinstalar una lista de entidades permitidas, haz lo siguiente:

En el manifiesto YAML del AllowlistSynchronizer que administra la lista de entidades permitidas, quita la ruta de acceso a la lista de entidades permitidas que deseas desinstalar. Para obtener instrucciones, consulta la sección Actualiza un objeto AllowlistSynchronizer existente.
Para verificar que se desinstaló la lista de entidades permitidas, obtén una lista de los objetos WorkloadAllowlist en tu clúster:
```
kubectl get workloadallowlist
```
En el resultado, asegúrate de que no aparezca la lista de entidades permitidas que querías quitar.
Borra la carga de trabajo de tu clúster. Para obtener instrucciones, consulta la documentación del proveedor de la carga de trabajo.

Cómo evitar la instalación de la lista de entidades permitidas en tus clústeres

Para evitar la instalación de listas de entidades permitidas de cargas de trabajo con privilegios en clústeres específicos, especifica una cadena vacía ("") en la marca --autopilot-privileged-admission cuando crees o actualices un clúster.

Para inhabilitar rutas de acceso específicas de la lista de entidades permitidas para un clúster, omite las rutas de acceso a esas listas cuando crees o actualices un clúster:
```
gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autopilot-privileged-admission=ALLOWLIST1_PATH,ALLOWLIST2_PATH,...
```
Reemplaza ALLOWLIST1_PATH,ALLOWLIST2_PATH,... por una lista separada por comas de las rutas de acceso a las fuentes de la lista de entidades permitidas. Omite las rutas de acceso que deseas inhabilitar.
Para inhabilitar todas las listas de entidades permitidas en un clúster existente, especifica una cadena vacía como la ruta aprobada:
```
gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autopilot-allowlist-paths=""
```
Precaución: Esta operación inhabilita la instalación de todas las listas de entidades permitidas, incluidas las listas de entidades permitidas para cargas de trabajo de socios y cargas de trabajo de código abierto aprobadas. Verifica que las aplicaciones en ejecución no tengan dependencias en estas cargas de trabajo.

Solucionar problemas

Si falla la sincronización o la implementación de la carga de trabajo, consulta Soluciona problemas relacionados con la implementación de cargas de trabajo privilegiadas de Autopilot.

¿Qué sigue?

Obtén información sobre las cargas de trabajo disponibles de los socios de GKE Autopilot
Ejecuta cargas de trabajo de código abierto con privilegios en GKE Autopilot
Obtén más información sobre las capacidades de seguridad predeterminadas de Autopilot de GKE
Lee la CustomResourceDefinition de AllowlistSynchronizer