保護機群

Google Cloud 提供多種功能,可保護機群和在其中執行的應用程式。本頁面提供車隊安全功能總覽,並附上相關連結,方便您進一步瞭解。

管理身分

Google Cloud 提供下列選項,讓您以簡單、一致且安全的方式,驗證機群叢集,無論叢集位於何處。設定驗證後,您可以使用 Kubernetes 角色型存取控制 (RBAC),為叢集設定更精細的存取控制。

透過 Google Cloud進行驗證

根據預設, Google Cloud 上的所有 GKE 叢集都已設定為接受 Google Cloud 使用者和服務帳戶的身分。如果車隊包含多個環境中的叢集,您可以設定 Connect 閘道,讓使用者和服務帳戶也能使用 Google Cloud ID 向任何已註冊的叢集進行驗證。

如要進一步瞭解如何設定及使用驗證,請參閱下列指南: Google Cloud

使用第三方供應商進行驗證

如要使用現有的第三方識別資訊提供者驗證機群叢集,請使用 GKE Identity Service 這項驗證服務,在多個環境中採用現有的身分識別解決方案。這項功能支援所有 OpenID Connect (OIDC) 提供者,例如 Okta 和 Microsoft AD FS,並在部分環境中提供 LDAP 提供者預先發布版支援。您可以逐一為叢集設定 GKE Identity Service,也可以在支援的情況下,為整個機群設定單一設定

如要進一步瞭解如何設定及使用第三方驗證,包括支援的環境和供應商,請參閱下列指南:

使用不記名符記進行驗證

如果上述 Google 提供的解決方案不適合貴機構,您可以設定 Kubernetes 服務帳戶驗證,並使用該帳戶的持有者權杖登入。詳情請參閱「使用不記名權杖設定」。

管理機群安全性

Google Cloud 提供一系列功能和產品,可提升機群和工作負載的安全性,例如:

  • 二進位授權,確保只有受信任的映像檔會部署至叢集機群
  • Kubernetes 網路政策,可控管 Pod 之間的連線
  • 精細控管 Cloud Service Mesh 的服務存取權
  • GKE 安全防護機制資訊主頁,可監控叢集的安全防護機制。

監控機群安全防護機制

GKE 安全防護機制資訊主頁可協助您評估及管理機群的 GKE 叢集,找出安全疑慮並取得可行的修正建議。功能包括:

  • 設定稽核: 工作負載規格中的設定錯誤,例如權限過高的 Pod。
  • 使用 Policy Controller 稽核法規遵循情形 (僅適用於已啟用 GKE Enterprise 的專案)

資訊主頁會顯示所選機群中所有叢集,以及所選專案中任何獨立 GKE 叢集所發現的問題。

在機群層級設定安全防護機制資訊主頁功能

如果您已啟用 GKE Enterprise,可以在機群層級管理部分安全資訊主頁功能,讓機群中的所有叢集都能使用相同的安全觀測預設設定。

機群安全資源

如要進一步瞭解機群安全防護功能,請參閱下列指南:

監控叢集是否符合業界標準

GKE 法規遵循資訊主頁會顯示叢集是否符合業界標準,例如 CIS GKE 基準和 Kubernetes Pod 安全性標準。這個資訊主頁會自動產生法規遵循報表,並提供發現的任何疑慮詳細清單,以及可執行的建議。

管理叢集政策

Policy Controller 可為機群叢集強制執行完全程式化的政策。這些政策是「防護機制」,用來防止 Kubernetes API 設定上的異動違反安全性、營運或法規遵循的控管。

如要進一步瞭解 Policy Controller 的用途,請參閱 Policy Controller 說明文件