Google Cloud 提供多種功能,可保護機群和在其中執行的應用程式。本頁面提供車隊安全功能總覽,並附上相關連結,方便您進一步瞭解。
管理身分
Google Cloud 提供下列選項,讓您以簡單、一致且安全的方式,驗證機群叢集,無論叢集位於何處。設定驗證後,您可以使用 Kubernetes 角色型存取控制 (RBAC),為叢集設定更精細的存取控制。
透過 Google Cloud進行驗證
根據預設, Google Cloud 上的所有 GKE 叢集都已設定為接受 Google Cloud 使用者和服務帳戶的身分。如果車隊包含多個環境中的叢集,您可以設定 Connect 閘道,讓使用者和服務帳戶也能使用 Google Cloud ID 向任何已註冊的叢集進行驗證。
如要進一步瞭解如何設定及使用驗證,請參閱下列指南: Google Cloud
使用第三方供應商進行驗證
如要使用現有的第三方識別資訊提供者驗證機群叢集,請使用 GKE Identity Service 這項驗證服務,在多個環境中採用現有的身分識別解決方案。這項功能支援所有 OpenID Connect (OIDC) 提供者,例如 Okta 和 Microsoft AD FS,並在部分環境中提供 LDAP 提供者預先發布版支援。您可以逐一為叢集設定 GKE Identity Service,也可以在支援的情況下,為整個機群設定單一設定。
如要進一步瞭解如何設定及使用第三方驗證,包括支援的環境和供應商,請參閱下列指南:
使用不記名符記進行驗證
如果上述 Google 提供的解決方案不適合貴機構,您可以設定 Kubernetes 服務帳戶驗證,並使用該帳戶的持有者權杖登入。詳情請參閱「使用不記名權杖設定」。
管理機群安全性
Google Cloud 提供一系列功能和產品,可提升機群和工作負載的安全性,例如:
- 二進位授權,確保只有受信任的映像檔會部署至叢集機群
- Kubernetes 網路政策,可控管 Pod 之間的連線
- 精細控管 Cloud Service Mesh 的服務存取權
- GKE 安全防護機制資訊主頁,可監控叢集的安全防護機制。
監控機群安全防護機制
GKE 安全防護機制資訊主頁可協助您評估及管理機群的 GKE 叢集,找出安全疑慮並取得可行的修正建議。功能包括:
- 設定稽核: 工作負載規格中的設定錯誤,例如權限過高的 Pod。
- 使用 Policy Controller 稽核法規遵循情形 (僅適用於已啟用 GKE Enterprise 的專案)
資訊主頁會顯示所選機群中所有叢集,以及所選專案中任何獨立 GKE 叢集所發現的問題。
- 如需詳細資料和完整功能清單,請參閱「安全防護機制資訊主頁簡介」。
- 如要查看定價資訊,請參閱 GKE 安全防護機制資訊主頁定價。
在機群層級設定安全防護機制資訊主頁功能
如果您已啟用 GKE Enterprise,可以在機群層級管理部分安全資訊主頁功能,讓機群中的所有叢集都能使用相同的安全觀測預設設定。
- 瞭解如何為機群設定安全狀態資訊主頁功能。
機群安全資源
如要進一步瞭解機群安全防護功能,請參閱下列指南:
- 二進位授權
- Kubernetes 網路政策
- Cloud Service Mesh 中的應用程式安全性:
- 安全防護機制資訊主頁簡介
監控叢集是否符合業界標準
GKE 法規遵循資訊主頁會顯示叢集是否符合業界標準,例如 CIS GKE 基準和 Kubernetes Pod 安全性標準。這個資訊主頁會自動產生法規遵循報表,並提供發現的任何疑慮詳細清單,以及可執行的建議。
- 如要瞭解如何啟用法規遵循稽核功能,請參閱「稽核叢集是否符合法規遵循標準」一文。
- 如要進一步瞭解法規遵循資訊主頁,請參閱「關於 GKE 法規遵循資訊主頁」。
管理叢集政策
Policy Controller 可為機群叢集強制執行完全程式化的政策。這些政策是「防護機制」,用來防止 Kubernetes API 設定上的異動違反安全性、營運或法規遵循的控管。
如要進一步瞭解 Policy Controller 的用途,請參閱 Policy Controller 說明文件。