Aplicar selectivamente políticas de cortafuegos en GKE

En esta página se explica cómo aplicar de forma selectiva las políticas de firewall de red de Cloud Next Generation Firewall en Google Kubernetes Engine (GKE) mediante etiquetas. Las etiquetas proporcionan un control más detallado para organizar la jerarquía de recursos en comparación con la Google Cloud jerarquía de recursos predeterminada. Las etiquetas también permiten aplicar políticas de forma condicional.

Esta página está dirigida a especialistas en seguridad que quieran tener un control preciso sobre las políticas de cortafuegos en GKE. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas habituales de los usuarios de GKE.

Antes de leer esta página, asegúrese de que conoce los siguientes conceptos:

• Descripción general de las etiquetas
• Cómo usar las etiquetas para otros fines, como la gestión de la facturación o las políticas de IAM condicionales

Acerca de las etiquetas

Las etiquetas son pares clave-valor que te permiten anotar y gestionar tus Google Cloud recursos a nivel de organización o proyecto. Puedes usar etiquetas para organizar tus recursos y aplicar condicionalmente políticas, como políticas de cortafuegos o de gestión de identidades y accesos. Puedes usar el control de acceso de IAM para definir quién puede adjuntar, crear, actualizar o eliminar etiquetas.

Para obtener más información sobre las etiquetas, consulta la descripción general de las etiquetas en la documentación de Resource Manager.

Usar etiquetas para aplicar políticas de cortafuegos de red

Puedes usar etiquetas para aplicar de forma condicional políticas de cortafuegos de red globales o regionales a tus nodos de GKE. Debes asignar el propósito GCE_FIREWALL a las etiquetas que quieras usar con las políticas de cortafuegos de red. Cuando aplicas etiquetas de finalidad de firewall a clústeres o grupos de nodos de GKE, GKE adjunta automáticamente esas etiquetas a las máquinas virtuales (VMs) de Compute Engine correspondientes.

Las etiquetas de las políticas de cortafuegos de red sustituyen a las etiquetas de red, que son metadatos que cualquier persona puede asociar a las VMs de Compute Engine subyacentes para aplicar las reglas de cortafuegos de la nube privada virtual y que no admiten el control de acceso de gestión de identidades y accesos. Si usas etiquetas de red con reglas de cortafuegos de VPC, te recomendamos que migres a políticas de cortafuegos de red y que uses etiquetas de cortafuegos seguras. Para ver una comparación detallada, consulta Comparar etiquetas de red con etiquetas en este documento.

Flujo de trabajo de etiquetas de políticas de cortafuegos de red

Para usar etiquetas con políticas de cortafuegos de red en GKE, haz lo siguiente:

1. Para crear una etiqueta, sigue estos pasos:

   1. Define una clave de etiqueta a nivel de organización o proyecto, como env.
   2. Define los posibles valores de la etiqueta de la clave, como dev, staging y prod.

   3. Designa la etiqueta para usarla en la política de cortafuegos de red.

2. Concede a los usuarios acceso para interactuar con la etiqueta de cortafuegos.

3. Aplica pares clave-valor de etiquetas a clústeres, grupos de nodos o ComputeClasses personalizados de GKE específicos para aplicarlos a nodos de cargas de trabajo concretas. GKE adjunta automáticamente las etiquetas a las VMs de Compute Engine subyacentes para aplicar la política de cortafuegos.

Antes de empezar

Antes de empezar, asegúrate de que has realizado las siguientes tareas:

• Habilita la API de Google Kubernetes Engine.
Habilitar la API de Google Kubernetes Engine
• Si quieres usar Google Cloud CLI para esta tarea, instálala y, a continuación, inicialízala. Si ya has instalado la CLI de gcloud, obtén la versión más reciente ejecutando el comando gcloud components update. Es posible que las versiones anteriores de la interfaz de línea de comandos de gcloud no admitan la ejecución de los comandos de este documento.

Requisitos y limitaciones

• Las etiquetas de las políticas de cortafuegos de red se admiten en GKE 1.28 y versiones posteriores. Si utilizas una versión de GKE anterior a la 1.28, usa etiquetas de red con reglas de cortafuegos de VPC.
• Los clústeres y los grupos de nodos de GKE no admiten etiquetas creadas con la marca --purpose-data=organization=auto. En el caso de las cargas de trabajo de GKE, le recomendamos que cree etiquetas que estén acotadas a su red de VPC mediante la marca --purpose-data=network. Para obtener más información, consulta Crear etiquetas.
• El clúster de GKE y la etiqueta deben estar asociados a la misma red de VPC.
• En los clústeres estándar, cada grupo de nodos admite hasta cinco etiquetas de cortafuegos asociadas.
• Los clústeres de Autopilot admiten hasta cinco etiquetas de cortafuegos.
• Custom Compute Class admite hasta cinco etiquetas.
• GKE rechaza las claves de etiqueta que usan el prefijo gke-managed.
• Debes crear los pares clave-valor de la etiqueta antes de poder adjuntarlos a clústeres o grupos de nodos.

Funciones y permisos de IAM

Para obtener los permisos que necesitas para usar etiquetas en las políticas de cortafuegos de GKE, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

• Para conceder los permisos necesarios para las etiquetas a los usuarios y a los agentes de servicio de GKE, sigue estos pasos:
  • Administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin) en tu proyecto
  • Administrador de la organización (roles/resourcemanager.organizationAdmin) de la organización
• Para crear y administrar etiquetas: Administrador de etiquetas (roles/resourcemanager.tagAdmin) en la organización o el proyecto
• Para adjuntar etiquetas a los recursos, sigue estos pasos: Etiquetar usuario (roles/resourcemanager.tagUser) en el proyecto

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Crear etiquetas

Para poder adjuntar etiquetas a clústeres o nodos, estas deben existir. Para crear una etiqueta, consulta Usar etiquetas en cortafuegos en la documentación de Cloud NGFW.

Por ejemplo, para crear una etiqueta de cortafuegos con ámbito de proyecto, ejecuta los siguientes comandos:

1. Crea la clave de la etiqueta:

   gcloud resource-manager tags keys create TAG_KEY \
       --parent=projects/PROJECT_ID \
       --purpose=GCE_FIREWALL \
       --purpose-data=network=PROJECT_ID/NETWORK_NAME
   

   Haz los cambios siguientes:

   • TAG_KEY: el nombre de la clave de la etiqueta, como env
   • PROJECT_ID: tu ID de proyecto Google Cloud
   • NETWORK_NAME: el nombre de la red de VPC que usarás con la etiqueta

2. Obtén el ID de la clave de la etiqueta:

   gcloud resource-manager tags keys describe PROJECT_ID/TAG_KEY \
       --format="value(name)"
   

   El resultado es tagKeys/KEY_ID, donde KEY_ID es el ID numérico de la clave. Anota este ID para más adelante.

3. Añade un valor a la clave de la etiqueta:

   gcloud resource-manager tags values create TAG_VALUE \
       --parent=tagKeys/KEY_ID
   

   Sustituye TAG_VALUE por el nombre de un valor permitido para esa clave de etiqueta, como dev.

Usar la sintaxis de etiquetas correcta en los comandos de la CLI de gcloud

Cuando hagas referencia a etiquetas con gcloud CLI, debes dar formato a los pares clave-valor con una de las siguientes sintaxis:

tagKeys/KEY_ID=tagValues/VALUE_ID

ORGANIZATION_ID/TAG_KEY=TAG_VALUE

PROJECT_ID/TAG_KEY=TAG_VALUE

PROJECT_NUMBER/TAG_KEY=TAG_VALUE

Etiquetas de destino con políticas de cortafuegos

Después de crear etiquetas, puedes hacer referencia a pares clave-valor específicos en las reglas de la política de cortafuegos. Para obtener instrucciones, consulta Usar etiquetas en firewalls.

Conceder permisos de gestión de identidades y accesos a agentes de servicio

Para que GKE adjunte automáticamente etiquetas a los nodos nuevos durante los eventos de escalado vertical, debes asignar los roles de gestión de identidades y accesos correspondientes a las cuentas de servicio gestionadas por Google Cloud, también llamadas agentes de servicio.

1. Concede el rol Usuario de etiquetas (roles/resourcemanager.tagUser) al agente de servicio de Kubernetes Engine:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
       --role=roles/resourcemanager.tagUser \
       --condition=None
   

   Sustituye PROJECT_NUMBER por el número de proyecto del clúster. Google CloudPara encontrar el número de proyecto, ejecuta el siguiente comando:

   gcloud projects describe PROJECT_ID --format="value(projectNumber)"
   

2. Asigna el rol de administrador de retenciones de etiquetas (roles/resourcemanager.tagHoldAdmin) al agente de servicio de Kubernetes Engine para el par clave-valor de la etiqueta:

   gcloud resource-manager tags values add-iam-policy-binding PROJECT_ID/TAG_KEY/TAG_VALUE \
       --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
       --role=roles/resourcemanager.tagHoldAdmin
   

   Este rol permite que el agente de servicio impida que se elimine la etiqueta si el par clave-valor sigue en uso en GKE.

3. Concede el rol de usuario de etiquetas (roles/resourcemanager.tagUser) al agente de servicio de las APIs de Google:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member=serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com \
       --role=roles/resourcemanager.tagUser \
       --condition=None
   

Conceder roles de gestión de identidades y accesos adicionales para etiquetas fuera del proyecto

Para usar etiquetas que pertenezcan a una organización o a un proyecto distinto del proyecto del clúster, sigue estos pasos adicionales:

1. Asigna el rol Usuario de etiquetas (roles/resourcemanager.tagUser) al acceso del agente de servicio de Kubernetes Engine para las etiquetas del recurso principal:

   gcloud resource-manager tags keys add-iam-policy-binding PARENT_RESOURCE/TAG_KEY \
       --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
       --role=roles/resourcemanager.tagUser \
       --condition=None
   

   Haz los cambios siguientes:

   • PARENT_RESOURCE: el ID del proyecto o el ID de la organización del recurso propietario de esa etiqueta
   • PROJECT_NUMBER: el número de proyecto del clúster

2. Asigna el rol Usuario de etiquetas (roles/resourcemanager.tagUser) al acceso de agente de servicio de las APIs de Google para las etiquetas del recurso principal:

   gcloud resource-manager tags keys add-iam-policy-binding PARENT_RESOURCE/TAG_KEY \
       --member=serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com \
       --role=roles/resourcemanager.tagUser \
       --condition=None
   

3. Asigna el rol Administrador de retenciones de etiquetas (roles/resourcemanager.tagHoldAdmin) a la cuenta de servicio de Kubernetes Engine para el par clave-valor de la etiqueta:

   gcloud resource-manager tags values add-iam-policy-binding PARENT_RESOURCE/TAG_KEY/TAG_VALUE \
       --member=serviceAccount:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com \
       --role=roles/resourcemanager.tagHoldAdmin
   

Adjuntar etiquetas de cortafuegos a clústeres de Autopilot

Las etiquetas de cortafuegos se adjuntan a los clústeres de Autopilot a nivel de clúster. GKE aplica automáticamente estas etiquetas a nivel de clúster a todos los nodos.

Asignar etiquetas al crear un clúster de Autopilot

Ejecuta el siguiente comando:

gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=TAG1,TAG2,...

Haz los cambios siguientes:

• CLUSTER_NAME: el nombre del nuevo clúster.
• LOCATION: la región de Compute Engine del clúster.
• TAG1,TAG2,...: conjunto de pares clave-valor separados por comas que se van a adjuntar. Cada par clave-valor debe usar una sintaxis admitida, tal como se describe en la sección Sintaxis de las etiquetas en los comandos. Por ejemplo, example-project/env=dev,1234567901/team=sre.

Asignar etiquetas a clústeres de Autopilot

Ejecuta el siguiente comando:

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=TAG1,TAG2,...

Cuando actualizas las etiquetas de un clúster, GKE sobrescribe las etiquetas de todos los nodos.

Adjuntar etiquetas de cortafuegos a clústeres y grupos de nodos estándar

El método que utilices para adjuntar etiquetas dependerá de si quieres que otros grupos de nodos del clúster hereden las etiquetas, como se indica a continuación:

Adjuntar etiquetas de cortafuegos a clústeres estándar

Puedes adjuntar etiquetas a clústeres estándar nuevos o que ya tengas. Cuando adjuntas etiquetas a un clúster completo, GKE considera que estas etiquetas se han definido a nivel de clúster.

Asociar etiquetas a un clúster estándar nuevo con aprovisionamiento automático de nodos

GKE usa etiquetas a nivel de clúster para los nodos aprovisionados automáticamente de forma predeterminada. El grupo de nodos predeterminado que crea GKE en el clúster no se aprovisiona automáticamente y no obtiene esas etiquetas.

gcloud container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=TAG1,TAG2,... \
    --enable-autoprovisioning \
    --max-cpu=MAX_CPU \
    --max-memory=MAX_MEMORY

Haz los cambios siguientes:

• CLUSTER_NAME: el nombre del nuevo clúster
• LOCATION: la región o zona de Compute Engine del clúster
• TAG1,TAG2,...: conjunto de pares clave-valor separados por comas que se van a adjuntar. Cada par clave-valor debe usar una sintaxis admitida, tal como se describe en la sección Sintaxis de las etiquetas en los comandos. Por ejemplo, example-project/env=dev,1234567901/team=sre.
• MAX_CPU: número máximo de núcleos del clúster
• MAX_MEMORY: capacidad de memoria máxima del clúster en gigabytes

Asignar etiquetas al habilitar el aprovisionamiento automático de nodos en un clúster

GKE solo aplica estas etiquetas a los nuevos grupos de nodos aprovisionados automáticamente. Los grupos de nodos conservan las etiquetas que tenían antes de la actualización.

1. Adjunta etiquetas al clúster:

   gcloud container clusters update CLUSTER_NAME \
       --location=LOCATION \
       --autoprovisioning-resource-manager-tags=TAG1,TAG2,...
   

2. Habilita el aprovisionamiento automático de nodos en el clúster:

   gcloud container clusters update CLUSTER_NAME \
       --location=LOCATION \
       --enable-autoprovisioning \
       --max-cpu=MAX_CPU \
       --max-memory=MAX_MEMORY
   

Adjuntar etiquetas de cortafuegos a grupos de nodos

Puedes asociar etiquetas a grupos de nodos nuevos o ya creados, independientemente de si usan el aprovisionamiento automático de nodos. GKE considera que estas etiquetas son un ajuste a nivel de grupo de nodos.

Asignar etiquetas al grupo de nodos predeterminado

GKE adjunta las etiquetas que especifiques con la marca --resource-manager-tags cuando crees un clúster al grupo de nodos predeterminado que GKE crea en el clúster.

gcloud container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --resource-manager-tags=TAG1,TAG2,...

Haz los cambios siguientes:

• CLUSTER_NAME: el nombre del nuevo clúster
• LOCATION: la región o zona de Compute Engine del clúster
• TAG1,TAG2,...: conjunto de pares clave-valor separados por comas que se van a adjuntar. Cada par clave-valor debe usar una sintaxis admitida, tal como se describe en la sección Sintaxis de las etiquetas en los comandos. Por ejemplo, example-project/env=dev,1234567901/team=sre.

Asociar etiquetas a un nuevo grupo de nodos

Cuando usas la marca --resource-manager-tags durante la creación del grupo de nodos, GKE adjunta las etiquetas que especifiques a ese grupo de nodos.

gcloud container node-pools create NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --location=LOCATION \
    --resource-manager-tags=TAG1,TAG2,...

Haz los cambios siguientes:

• NODE_POOL_NAME: el nombre del nuevo grupo de nodos
• CLUSTER_NAME: el nombre del clúster
• LOCATION: la región o zona de Compute Engine del clúster
• TAG1,TAG2,...:conjunto de pares clave-valor separados por comas que se van a adjuntar. Cada par clave-valor debe usar una sintaxis admitida, tal como se describe en la sección Sintaxis de las etiquetas en los comandos. Por ejemplo, example-project/env=dev,1234567901/team=sre.

Asignar etiquetas a un grupo de nodos

Cuando actualizas las etiquetas de un grupo de nodos con la marca --resource-manager-tags, GKE sobrescribe las etiquetas que ya tenga ese grupo de nodos. Puede usar este comando para actualizar las etiquetas de los grupos de nodos aprovisionados automáticamente.

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --location=LOCATION \
    --resource-manager-tags=TAG1,TAG2,...

Sustituye NODE_POOL_NAME por el nombre del grupo de nodos que quieras actualizar.

Activar o desactivar la configuración de aprovisionamiento automático en clústeres y grupos de nodos

Cuando actualizas las etiquetas a nivel de clúster, GKE aplica esas etiquetas nuevas a todos los grupos de nodos nuevos del clúster y conserva las etiquetas que se habían adjuntado a los grupos de nodos ya creados.

Cuando actualice grupos de nodos para habilitar o inhabilitar el aprovisionamiento automático de nodos, tenga en cuenta las siguientes implicaciones para las etiquetas:

• Cuando habilitas o inhabilitas el aprovisionamiento automático de nodos, el grupo de nodos conserva las etiquetas que ya tenga. GKE no sobrescribe estas etiquetas con etiquetas de nivel de clúster, ni siquiera durante la recreación de nodos.
• Si actualizas manualmente las etiquetas de grupos de nodos específicos, GKE sobrescribe las etiquetas que ya tengan esos grupos de nodos con las que hayas especificado.

Aplicar etiquetas a cargas de trabajo con ComputeClasses personalizadas

Puedes aplicar etiquetas de firewall a grupos de nodos específicos en clústeres Autopilot y en clústeres Standard que usen el aprovisionamiento automático de nodos (NAP) mediante clases de Compute personalizadas (CCCs). Una clase de computación personalizada es un recurso que te permite definir una configuración para un grupo de nodos, así como las etiquetas de Resource Manager que se aplicarán a los nodos.

Cuando implementas una carga de trabajo que solicita un nodo con una etiqueta de clase de computación personalizada específica, NAP comprueba primero si ya existe un grupo de nodos que cumpla todos los requisitos de la clase de computación personalizada, incluidas las etiquetas de Resource Manager especificadas.

Si no existe ningún grupo de nodos que coincida, NAP crea un grupo de nodos para la carga de trabajo con la configuración especificada y adjunta las etiquetas a las VMs de Compute Engine subyacentes. Esta creación automática de grupos de nodos asegura que las cargas de trabajo se ejecuten en nodos con las etiquetas de cortafuegos correctas para aplicar las políticas.

Crear un ComputeClass personalizado mediante etiquetas

1. Para crear un ComputeClass con etiquetas, guarda el siguiente archivo de manifiesto como my-compute-class.yaml. En el campo resourceManagerTags, especifique las claves y los valores de las etiquetas que quiera asociar a los grupos de nodos que se creen con esta clase.

   apiVersion: cloud.google.com/v1
   kind: ComputeClass
   metadata:
     name: COMPUTE_CLASS_NAME
   spec:
       nodePoolConfig:
         resourceManagerTags:
           - key: "PROJECT_ID/TAG_KEY_1"
             value: "TAG_VALUE_1"
           - key: "ORGANIZATION_ID/TAG_KEY_2"
             value: "TAG_VALUE_2"
           - key: "tagKeys/KEY_ID"
             value: "tagValues/VALUE_ID"
   

   Haz los cambios siguientes:

   • COMPUTE_CLASS_NAME: el nombre de tu clase CustomCompute, por ejemplo, my-custom-class.
   • PROJECT_ID: tu ID de proyecto Google Cloud .
   • TAG_KEY_1: el nombre de la primera clave de etiqueta.
   • TAG_VALUE_1: el nombre del primer valor de la etiqueta.
   • ORGANIZATION_ID: tu ID de organización numérico. Google Cloud
   • TAG_KEY_2: el nombre de la segunda clave de etiqueta.
   • TAG_VALUE_2: el nombre del segundo valor de la etiqueta.
   • KEY_ID: ID numérico de una clave de etiqueta.
   • VALUE_ID: ID numérico de un valor de etiqueta.

2. Aplica el archivo de manifiesto:

   kubectl apply -f my-compute-class.yaml
   

Si especificas una etiqueta no válida o si los agentes de servicio de GKE no tienen los permisos de gestión de identidades y accesos necesarios para la etiqueta, GKE no aprovisiona un grupo de nodos para tu carga de trabajo y esta permanece en el estado Pending. Para obtener más información sobre el error, consulta el campo Status de tu recurso ComputeClass.

Para comprobar el estado, ejecuta el siguiente comando:

kubectl get cc COMPUTE_CLASS_NAME -o jsonpath='{.status}' | jq .

Sustituye COMPUTE_CLASS_NAME por el nombre de tu clase de cálculo personalizada.

Dirigir la clase de computación personalizada a tu carga de trabajo

1. Para orientar a la ComputeClass que has creado, guarda el siguiente manifiesto como pod-with-ccc.yaml. Este archivo de manifiesto usa el campo nodeSelector para orientar la clase Compute.

   apiVersion: v1
   kind: Pod
   metadata:
     name: nginx-server
   spec:
     nodeSelector:
       cloud.google.com/compute-class: "COMPUTE_CLASS_NAME"
     containers:
       - name: nginx
         image: nginx:latest
   

   Sustituye COMPUTE_CLASS_NAME por el nombre de tu clase de computación personalizada (por ejemplo, my-custom-class).

2. Aplica el archivo de manifiesto:

   kubectl apply -f pod-with-ccc.yaml
   

Cuando programas una carga de trabajo que tiene como destino una clase de computación personalizada, GKE aplica automáticamente un taint a los nodos creados para esa clase y añade una tolerancia correspondiente a los pods de tu carga de trabajo para que solo se programen en esos nodos los pods que soliciten explícitamente la clase.

Autorizar cargas de trabajo con una política de admisión de validación (VAP)

Para asegurarte de que solo se puedan programar cargas de trabajo autorizadas en grupos de nodos con etiquetas, te recomendamos que uses una política de admisión de validación. Esta política, una función integrada de Kubernetes, intercepta las solicitudes para crear o actualizar pods antes de que se conserven. Esta interceptación evita que se ejecuten cargas de trabajo no autorizadas en los nodos etiquetados.

La siguiente política deniega las solicitudes de creación de pods si el pod contiene una tolerancia para uno de los taints de clase de Compute que se indican y no está en un espacio de nombres permitido.

1. Guarda el siguiente archivo de manifiesto como restrict-toleration.yaml:

   # Copyright 2025 Google LLC
   #
   # Licensed under the Apache License, Version 2.0 (the "License");
   # you may not use this file except in compliance with the License.
   # You may obtain a copy of the License at
   #
   #      http://www.apache.org/licenses/LICENSE-2.0
   #
   # Unless required by applicable law or agreed to in writing, software
   # distributed under the License is distributed on an "AS IS" BASIS,
   # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
   # See the License for the specific language governing permissions and
   # limitations under the License.
   
   apiVersion: admissionregistration.k8s.io/v1
   kind: ValidatingAdmissionPolicy
   metadata:
     name: restrict-toleration
   spec:
     failurePolicy: Fail
     paramKind:
       apiVersion: v1
       kind: ConfigMap
     matchConstraints:
       # GKE will mutate any pod specifying a CC label in a nodeSelector
       # or in a nodeAffinity with a toleration for the CC node label.
       # Mutation hooks will always mutate the K8s object before validating
       # the admission request.  
       # Pods created by Jobs, CronJobs, Deployments, etc. will also be validated.
       # See https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#admission-control-phases for details
       resourceRules:
       - apiGroups:   [""]
         apiVersions: ["v1"]
         operations:  ["CREATE", "UPDATE"]
         resources:   ["pods"]
     matchConditions:
       - name: 'match-tolerations'
         # Validate only if compute class toleration exists
         # and the CC label tolerated is listed in the configmap.
         expression: > 
           object.spec.tolerations.exists(t, has(t.key) &&
           t.key == 'cloud.google.com/compute-class' &&
           params.data.computeClasses.split('\\n').exists(cc, cc == t.value))
     validations:
       # ConfigMap with permitted namespace list referenced via `params`.
       - expression: "params.data.namespaces.split('\\n').exists(ns, ns == object.metadata.namespace)"
         messageExpression: "'Compute class toleration not permitted on workloads in namespace ' + object.metadata.namespace"
   
   ---
   apiVersion: admissionregistration.k8s.io/v1
   kind: ValidatingAdmissionPolicyBinding
   metadata:
     name: restrict-toleration-binding
   spec:
     policyName: restrict-toleration
     validationActions: ["Deny"]
     paramRef:
       name: allowed-ccc-namespaces
       namespace: default
       parameterNotFoundAction: Deny
   ---
   apiVersion: v1
   kind: ConfigMap
   metadata:
     name: allowed-ccc-namespaces
     namespace: default
   data:
     # Replace example namespaces in line-separated list below.
     namespaces: |
       foo
       bar
       baz
     # ComputeClass names to monitor with this validation policy.
     # The 'autopilot' and 'autopilot-spot' CCs are present on
     # all NAP Standard and Autopilot clusters.
     computeClasses: |
       MY_COMPUTE_CLASS
       autopilot
       autopilot-spot
   
   

2. Aplica el archivo de manifiesto:

   kubectl apply -f restrict-toleration.yaml
   

Ajusta las políticas de admisión de validación para satisfacer las necesidades de seguridad específicas de tu organización.

Verificar las etiquetas de cortafuegos en el clúster

• Lista las etiquetas de los clústeres de Autopilot:

  gcloud container clusters describe CLUSTER_NAME \
      --location=LOCATION \
      --format="value(nodePoolAutoConfig.resourceManagerTags)"
  

  Haz los cambios siguientes:

  • CLUSTER_NAME: el nombre del clúster.
  • LOCATION: la región o zona de Compute Engine del clúster.

• Lista las etiquetas de grupos de nodos específicos:

  Este comando también verifica las etiquetas de los grupos de nodos aprovisionados automáticamente por una clase de Compute personalizada.

  gcloud container node-pools describe NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --location=LOCATION \
    --format="value(config.resourceManagerTags)"
  

  Haz los cambios siguientes:

  • NODE_POOL_NAME: el nombre del grupo de nodos.
  • CLUSTER_NAME: el nombre del clúster.
  • LOCATION: la región o zona de Compute Engine del clúster.

Desasociar etiquetas de cortafuegos de clústeres y grupos de nodos

Para quitar etiquetas de cortafuegos de clústeres y grupos de nodos, actualiza el recurso con un valor vacío para las etiquetas.

Desasociar etiquetas de clústeres de Autopilot

Ejecuta el siguiente comando:

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --autoprovisioning-resource-manager-tags=

Desasociar etiquetas de grupos de nodos

1. Desasociar etiquetas de nodos a nivel de clúster autoprovisioning:

   gcloud container clusters update CLUSTER_NAME \
       --location=LOCATION \
       --autoprovisioning-resource-manager-tags=
   

   GKE no adjuntará etiquetas a los nuevos grupos de nodos aprovisionados automáticamente.

2. Desasocia las etiquetas del grupo de nodos:

   gcloud container node-pools update NODE_POOL_NAME \
       --cluster=CLUSTER_NAME \
       --location=LOCATION \
       --resource-manager-tags=
   

   GKE elimina las etiquetas del grupo de nodos.

Eliminar claves y valores de etiquetas

Para eliminar una clave o un valor de etiqueta, asegúrate de que la etiqueta no esté asociada a ningún recurso. A continuación, consulta la sección Eliminar etiquetas de la documentación de Resource Manager.

Comparar etiquetas de red con etiquetas

Usar etiquetas para aplicar políticas de cortafuegos tiene ventajas significativas en cuanto a seguridad y usabilidad en comparación con las etiquetas de red. Del mismo modo, las políticas de cortafuegos de red mejoran las funciones de las reglas de cortafuegos de VPC, ya que facilitan la aplicación de reglas de cortafuegos en organizaciones, carpetas, proyectos o redes completas.

Usar etiquetas con políticas de cortafuegos de red es una forma más segura y escalable de gestionar el acceso a tus entornos de GKE en toda tu organización. Puede usar etiquetas de red en el mismo clúster que las etiquetas, aunque no puede usarlas para aplicar políticas de cortafuegos de red.

Para ver una comparación detallada entre las etiquetas y las etiquetas de red, consulta el artículo Comparación de etiquetas y etiquetas de red de la documentación de Cloud NGFW.

Diferencias funcionales en los grupos de nodos aprovisionados automáticamente

En los clústeres Autopilot y en los grupos de nodos Estándar que no usan el aprovisionamiento automático de nodos, las etiquetas de red y las etiquetas se comportan de forma similar. En la siguiente tabla se muestran las diferencias funcionales entre las etiquetas de red y las etiquetas de los grupos de nodos aprovisionados automáticamente en los clústeres estándar:

Siguientes pasos

• Usar etiquetas para hacer un seguimiento del uso y aplicar políticas de gestión de identidades y accesos
• Más información sobre las etiquetas de cortafuegos
• Información sobre las etiquetas