La crittografia dei secret a livello di applicazione aggiunge un livello di protezione configurabile per i dati sensibili in Google Kubernetes Engine (GKE), come credenziali e chiavi. I problemi con questa configurazione possono impedire il corretto funzionamento di questo livello di sicurezza aggiuntivo.
Utilizza questo documento per risolvere i problemi relativi alla crittografia dei secret a livello di applicazione ispezionando i campi di debug disponibili nell'oggetto cluster API GKE. Questi campi ti aiutano a diagnosticare la causa principale degli errori comuni, come gli aggiornamenti non riusciti o i problemi con la chiave Cloud KMS.
Queste informazioni sono importanti per gli amministratori e gli operatori della piattaforma e per gli ingegneri della sicurezza responsabili della protezione delle informazioni sensibili archiviate nei cluster GKE. Per maggiori informazioni sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli utente e attività comuni di GKE.
Aggiornamento non riuscito
Quando aggiorni la configurazione della crittografia dei secret a livello di applicazione, GKE deve riscrivere tutti gli oggetti Secret nel cluster Kubernetes. GKE esegue questa operazione per garantire che tutti i secret siano criptati dalla nuova chiave Cloud KMS o vengano scritti senza crittografia se è questo che configuri.
L'operazione di aggiornamento può non riuscire a causa di una delle seguenti condizioni:
- Il control plane Kubernetes non è temporaneamente disponibile durante l'aggiornamento.
- Un
AdmissionWebhookdefinito dall'utente impedisce a GKE di aggiornare gli oggetti Secret. - La chiave Cloud KMS aggiornata o precedente viene disattivata prima del completamento dell'operazione di aggiornamento.
Finché l'operazione di aggiornamento non va a buon fine, non interagire con le chiavi Cloud KMS aggiornate o precedenti.
Campi di debug
I cluster GKE nuovi che eseguono la versione 1.29 e successive contengono
campi aggiuntivi che ti aiutano a monitorare gli aggiornamenti di Cluster.DatabaseEncryption
e a eseguire il ripristino in caso di errori.
I seguenti passaggi si applicano solo ai cluster in cui il
campo DatabaseEncryption.CurrentState non è vuoto. Se il campo CurrentState
è vuoto, la funzionalità non è ancora abilitata in questa versione del cluster.
Ai seguenti campi si applicano i limiti indicati:
- Sono solo output, il che significa che non puoi impostarli durante le richieste di creazione o aggiornamento del cluster.
Campo CurrentState
Puoi esaminare lo stato attuale di un'operazione di aggiornamento DatabaseEncryption
esaminando il campo CurrentState in Cluster.DatabaseEncryption.
Valore di CurrentState |
Descrizione |
|---|---|
|
L'ultima operazione di aggiornamento è stata completata correttamente. Non occorrono ulteriori interventi. Puoi smaltire le chiavi utilizzate in precedenza. |
|
L'aggiornamento è in corso. |
|
Si è verificato un errore con l'aggiornamento più recente. Non disattivare o distruggere le chiavi Cloud KMS utilizzate in precedenza, in quanto potrebbero essere ancora in uso da GKE.
Per ulteriori informazioni, consulta il campo |
Campo LastOperationErrors
Quando un'operazione di aggiornamento non riesce, l'errore sottostante del control plane GKE viene visualizzato nell'output di gcloud container clusters update.
I messaggi di errore delle due operazioni di aggiornamento non riuscite più recenti sono disponibili anche in Cluster.DatabaseEncryption.LastOperationErrors.
Campo DecryptionKeys
La chiave Cloud KMS utilizzata per le nuove operazioni di crittografia viene mostrata in
DatabaseEncryption.KeyName. Di solito questa è l'unica chiave utilizzata dal cluster.
Tuttavia, DatabaseEncryption.DecryptionKeys contiene chiavi aggiuntive che vengono
utilizzate anche dal cluster se è in corso un aggiornamento o dopo un errore.
Recuperare da un aggiornamento non riuscito
Per eseguire il ripristino da un aggiornamento non riuscito:
- Esamina il messaggio di errore e risolvi i problemi indicati.
- Riprova la richiesta di aggiornamento eseguendo il comando non riuscito, ad esempio
gcloud container clusters update ... --database-encryption-key. Ti consigliamo di riprovare con la stessa richiesta di aggiornamento che hai inviato originariamente o di aggiornare il cluster allo stato precedente. GKE potrebbe non essere in grado di passare a una chiave o a uno stato di crittografia diverso se non riesce a leggere uno o più secret.
Le sezioni seguenti elencano i motivi comuni degli errori.
Errore della chiave Cloud KMS
Se il messaggio di errore contiene un riferimento a una o più chiavi Cloud KMS, esamina la configurazione delle chiavi Cloud KMS per assicurarti che le versioni delle chiavi pertinenti siano utilizzabili.
Se l'errore indica che una chiave Cloud KMS è stata disattivata o eliminata, riattiva la chiave o la versione della chiave.
Errore: impossibile utilizzare la chiave CloudKMS configurata per la crittografia a livello di applicazione
Il seguente messaggio di errore si verifica se l'account di servizio predefinito di GKE non riesce ad accedere alla chiave Cloud KMS:
Cluster problem detected (Kubernetes Engine Service Agent account unable to use CloudKMS key configured for Application Level encryption).
Per risolvere il problema, riattiva la chiave disattivata.
Impossibile aggiornare il secret
Il seguente errore potrebbe verificarsi se l'API Kubernetes ha rifiutato la richiesta di aggiornamento a causa di un webhook di controllo dell'ammissione:
error admission webhook WEBHOOK_NAME denied the request
Per risolvere questo errore, rimuovi il webhook o modificalo in modo che GKE possa aggiornare i secret in tutti gli spazi dei nomi durante gli aggiornamenti delle chiavi.
Errore: lo spazio dei nomi è gestito
Il seguente errore si verifica quando tenti di crittografare nuovamente i secret che si trovano in uno spazio dei nomi gestito da GKE, ad esempio kube-system, in un cluster Autopilot. Il messaggio di errore è simile al seguente:
Error from server (Forbidden): secrets "alertmanager" is
forbidden: User cannot patch resource "secrets" in API group "" in the namespace "gke-gmp-system":
GKE Warden authz [denied by managed-namespaces-limitation]: the namespace "gke-gmp-system"
is managed and the request's verb "patch" is denied'
I cluster GKE Autopilot non consentono di modificare le risorse Kubernetes, inclusi i secret, negli spazi dei nomi gestiti.
Per risolvere questo errore:
- Se utilizzi i comandi
kubectlper crittografare nuovamente i secret, utilizza il flag--namespaceper limitare l'ambito del comando agli spazi dei nomi che gestisci. - Se utilizzi un CronJob per ricriptare i secret, implementalo solo negli spazi dei nomi che gestisci.
Passaggi successivi
Se non riesci a trovare una soluzione al tuo problema nella documentazione, consulta la sezione Richiedere assistenza per ulteriore aiuto, inclusi consigli sui seguenti argomenti:
- Aprire una richiesta di assistenza contattando l'assistenza clienti cloud.
- Ricevere assistenza dalla community
ponendo domande su Stack Overflow e utilizzando il tag
google-kubernetes-engineper cercare problemi simili. Puoi anche unirti al canale Slack per ulteriore assistenza della community.#kubernetes-engine - Apertura di bug o richieste di funzionalità utilizzando lo strumento di monitoraggio dei problemi pubblico.