Encripta los datos en uso de cargas de trabajo con Confidential GKE Nodes

En esta página, se muestra cómo aplicar la encriptación de datos en uso en tus nodos y cargas de trabajo con Confidential Google Kubernetes Engine Nodes. Aplicar la encriptación puede ayudar a aumentar la seguridad de tus cargas de trabajo.

Esta página está dirigida a los especialistas en seguridad que implementan medidas de seguridad en GKE. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Tareas y roles comunes de los usuarios de GKE Enterprise.

Antes de leer esta página, asegúrate de estar familiarizado con el concepto de datos en uso.

¿Qué son los Confidential GKE Nodes?

Puedes encriptar tus cargas de trabajo con nodos de GKE confidenciales o el modo confidencial de Hyperdisk Balanced.

Confidential GKE Nodes

Los Confidential GKE Nodes se compilan sobre la Confidential VM de Compute Engine, que usa la encriptación de memoria basada en hardware para proteger los datos en uso. Confidential GKE Nodes admite las siguientes tecnologías de Confidential Computing:

  • Virtualización encriptada segura (SEV) de AMD
  • Virtualización encriptada segura de AMD-Páginas anidadas seguras (SEV-SNP)
  • Extensiones de dominio de confianza Intel (TDX)

Para obtener detalles sobre estas tecnologías y ayuda para elegir la que mejor se adapte a tus requisitos, consulta la Descripción general de Confidential VM.

Los nodos confidenciales de GKE no cambian las medidas de seguridad que GKE aplica a los planos de control de los clústeres. Para obtener más información sobre estas medidas, consulta Seguridad del plano de control. Para obtener visibilidad sobre quién accede a los planos de control en tus proyectos de Google Cloud, usa la Transparencia de acceso.

Puedes hacer lo siguiente para habilitar Confidential GKE Nodes:

  • Crea un clúster nuevo
  • Implementa una carga de trabajo con el aprovisionamiento automático de nodos
  • Crea un grupo de nodos
  • Actualiza un grupo de nodos existente

No puedes actualizar un clúster existente para cambiar la configuración de Confidential GKE Nodes a nivel del clúster.

En la siguiente tabla, se muestra el comportamiento de GKE que se aplica cuando habilitas Confidential GKE Nodes:

Configura Confidential GKE Nodes Cómo configurar Comportamiento
Nivel de clúster Crea un clúster nuevo en modo Autopilot o Standard

Todos los nodos usan Confidential GKE Nodes. Esta operación es irreversible. No puedes anular el parámetro de configuración para nodos individuales.

En los clústeres de GKE Autopilot, todos los nodos usan automáticamente la serie de máquinas predeterminada para la clase de procesamiento Balanced, que es N2D.
Nivel de grupo de nodos
  • Crea un grupo de nodos de Standard nuevo
  • Actualiza un grupo de nodos Standard existente
 GKE encripta el contenido de la memoria de los nodos en ese grupo de nodos. Esto solo es posible si Confidential GKE Nodes está inhabilitado a nivel del clúster.

Modo confidencial para Hyperdisk Balanced

También puedes habilitar el modo confidencial para Hyperdisk Balanced en el almacenamiento de tu disco de arranque, lo que encripta tus datos en enclaves adicionales respaldados por hardware.

Puedes habilitar el modo confidencial para Hyperdisk Balanced cuando realices una de las siguientes acciones:

  • Crea un clúster nuevo
  • Crear un grupo de nodos nuevo

No puedes actualizar un clúster o un grupo de nodos existente para cambiar el parámetro de configuración del modo confidencial para Hyperdisk Balanced.

En la siguiente tabla, se muestra el comportamiento de GKE que se aplica cuando habilitas el modo confidencial para el parámetro de configuración Hyperdisk Balanced a nivel del clúster o del grupo de nodos:

Parámetro de configuración del modo confidencial para Hyperdisk Balanced Cómo configurar Comportamiento
Nivel de clúster Crea un clúster nuevo Solo el grupo de nodos predeterminado del clúster usará el parámetro de configuración del modo confidencial para Hyperdisk Balanced. No puedes hacer lo siguiente:
  • Inhabilita el modo confidencial para el parámetro de configuración de Hyperdisk Balanced en un grupo de nodos existente en el clúster
  • Habilita el modo confidencial para el parámetro de configuración de Hyperdisk Balanced en clústeres existentes
Nivel de grupo de nodos Crear un grupo de nodos nuevo Puedes configurar el parámetro de configuración del modo confidencial para Hyperdisk Balanced en cualquier grupo de nodos nuevo en el momento de la creación. No puedes actualizar los grupos de nodos existentes para que usen el parámetro de configuración del modo confidencial de Hyperdisk Balanced.

Precios

Se aplican los siguientes precios:

  • Autopilot:

    1. Generas costos según los precios de la clase de procesamiento balanceada, ya que habilitar Confidential GKE Nodes cambia la serie de máquinas predeterminada en el clúster a N2D. Para obtener detalles sobre los precios, consulta Precios de Autopilot.
    2. Los Confidential GKE Nodes generan costos adicionales a los precios de GKE Autopilot. Para obtener más detalles, consulta la sección "Precios de Confidential GKE Nodes en GKE Autopilot" en Precios de Confidential VMs.

  • Estándar: No se aplican costos adicionales por implementar Confidential GKE Nodes, excepto el costo de la Confidential VM de Compute Engine. Sin embargo, los Confidential GKE Nodes pueden generar un poco más de datos de registro en el inicio que los nodos estándar. Para obtener información sobre el precio de los registros, consulta Precios de Google Cloud Observability.

Disponibilidad

Confidential GKE Nodes tiene los siguientes requisitos de disponibilidad:

  • Tus nodos deben estar en una zona o región que admita la tecnología de Confidential Computing que selecciones. Para obtener más información, consulta Cómo ver las zonas admitidas.
  • Tus clústeres de Autopilot deben usar la versión 1.30.2 de GKE o una posterior.
  • Tus grupos de nodos estándar deben usar uno de los tipos de máquinas compatibles y la imagen de nodo de Container-Optimized OS.

Antes de comenzar

Antes de comenzar, asegúrate de haber realizado las siguientes tareas:

  • Habilita la API de Google Kubernetes Engine.
    • Habilitar la API de Google Kubernetes Engine
  • Si deseas usar Google Cloud CLI para esta tarea, instala y, luego, inicializa gcloud CLI. Si ya instalaste gcloud CLI, ejecuta gcloud components update para obtener la versión más reciente.

Requisitos

  • Tus clústeres de Autopilot deben usar la versión 1.30.2 de GKE o una posterior.
  • Tus grupos de nodos Standard deben usar uno de los tipos de máquinas compatibles y la imagen de nodo de Container-Optimized OS.

  • Tus clústeres y grupos de nodos de Standard deben usar una de las siguientes versiones de GKE, según la tecnología de Confidential Computing que elijas:

    • AMD SEV: Cualquier versión de GKE disponible
    • AMD SEV-SNP: 1.32.2-gke.1297000 o versiones posteriores
    • Intel TDX: 1.32.2-gke.1297000 o posterior

Usa Confidential GKE Nodes en Autopilot

Puedes habilitar Confidential GKE Nodes para todo un clúster de Autopilot, lo que convierte a cada nodo en un nodo confidencial. Todas tus cargas de trabajo se ejecutan en nodos confidenciales sin necesidad de realizar cambios en los manifiestos de las cargas de trabajo. Habilitar los Confidential GKE Nodes cambia la serie de máquinas predeterminada en el clúster a N2D.

Habilita Confidential GKE Nodes en un clúster de Autopilot nuevo

Ejecuta el siguiente comando:

gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --enable-confidential-nodes

Reemplaza lo siguiente:

  • CLUSTER_NAME: Es el nombre del clúster de Autopilot.
  • LOCATION: Es la ubicación de Compute Engine del clúster.

El clúster debe ejecutar la versión 1.30.2 o una posterior. Para establecer una versión específica cuando creas un clúster, consulta Configura la versión y el canal de versiones de un nuevo clúster de Autopilot.

Usa Confidential GKE Nodes en el modo estándar

Puedes habilitar Confidential GKE Nodes a nivel del clúster o del grupo de nodos en el modo estándar.

Habilita Confidential GKE Node en clústeres Standard

Puedes especificar una tecnología de Confidential Computing para tus nodos cuando creas un clúster. Especificar la tecnología cuando creas un clúster tiene todos los siguientes efectos:

  • No puedes crear grupos de nodos que no usen Confidential GKE Nodes en ese clúster.
  • No puedes actualizar el clúster para inhabilitar los Confidential GKE Nodes.
  • No puedes anular la tecnología de Confidential Computing a nivel del clúster en grupos de nodos individuales.

La configuración de un parámetro de Confidential Computing a nivel del clúster es permanente. Por lo tanto, considera los siguientes casos de uso antes de crear tu clúster:

  • Para usar el aprovisionamiento automático de nodos en tu clúster, debes hacer lo siguiente:

    • Usa gcloud CLI para crear tu clúster y especificar la marca --enable-confidential-nodes en el comando de creación del clúster.
    • Selecciona una tecnología de Confidential Computing que admita el aprovisionamiento automático de nodos.

    Para obtener más información, consulta la sección Usa Confidential GKE Nodes con el aprovisionamiento automático de nodos.

  • Para usar diferentes tecnologías de Confidential Computing para encriptar grupos de nodos específicos en el clúster, omite esta sección y especifica la tecnología en el nivel del grupo de nodos.

Para crear un clúster en modo estándar que use Confidential GKE Nodes, selecciona una de las siguientes opciones:

gcloud

Al crear un clúster nuevo, especifica la opción --confidential-node-type en la CLI de gcloud:

gcloud container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Reemplaza lo siguiente:

  • CLUSTER_NAME: El nombre de tu clúster.
  • LOCATION: Es la ubicación de Compute Engine para el clúster. La ubicación debe admitir la tecnología de Confidential Computing que especifiques. Para obtener más detalles, consulta la sección Disponibilidad.
  • MACHINE_TYPE: Es un tipo de máquina que admite la tecnología de Confidential Computing que especificas. Para obtener más detalles, consulta la sección Disponibilidad.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: Es la tecnología de Confidential Computing que se usará. Se admiten los siguientes valores:

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

También puedes usar la marca --enable-confidential-nodes en el comando de creación del clúster. Si solo especificas esta marca en tu comando, el clúster usará AMD SEV. El tipo de máquina que especifiques en el comando debe ser compatible con AMD SEV. Sin embargo, si especificas la marca --confidential-node-type en el mismo comando, GKE usa el valor que especificas en la marca --confidential-node-type.

Console

  1. En la consola de Google Cloud , ve a la página Crea un clúster de Kubernetes.

    Ir a Crea un clúster de Kubernetes

  2. En el panel de navegación, en Clúster, haz clic en Seguridad.

  3. Selecciona la casilla de verificación Habilitar Confidential GKE Node.

  4. Configura tu clúster según sea necesario.

  5. Haga clic en Crear.

Consulta Crea un clúster regional para obtener más detalles sobre la creación de clústeres.

En el caso de cualquier grupo de nodos creado con el parámetro de configuración del modo confidencial para Hyperdisk Balanced, solo los nodos del grupo de nodos están restringidos a la configuración. Para cualquier grupo de nodos nuevo que se cree en el clúster, debes configurar el modo confidencial durante la creación.

Habilita Confidential GKE Node en grupos de nodos

Puedes habilitar Confidential GKE Node en grupos de nodos específicos si Confidential GKE Node está inhabilitado a nivel de clúster.

Se debe especificar el modo confidencial para el parámetro de configuración de Hyperdisk Balanced durante la solicitud de creación del grupo de nodos.

Crear un grupo de nodos nuevo

Para crear un grupo de nodos nuevo con Confidential GKE Node habilitado, ejecuta el siguiente comando:

gcloud container node-pools create NODE_POOL_NAME \
    --location=LOCATION \
    --cluster=CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Reemplaza lo siguiente:

  • NODE_POOL_NAME: es el nombre de tu grupo de nodos nuevo.
  • LOCATION: Es la ubicación de tu grupo de nodos nuevo. La ubicación debe admitir la tecnología de Confidential Computing que especifiques. Para obtener más detalles, consulta la sección Disponibilidad.
  • CLUSTER_NAME: El nombre de tu clúster.
  • MACHINE_TYPE: Es un tipo de máquina que admite la tecnología de Confidential Computing que especificas. Para obtener más detalles, consulta la sección Disponibilidad.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: Es la tecnología de Confidential Computing que se usará. Se admiten los siguientes valores:

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

También puedes usar la marca --enable-confidential-nodes en el comando de creación del clúster. Si solo especificas esta marca en tu comando, el clúster usará AMD SEV. El tipo de máquina que especifiques en el comando debe ser compatible con AMD SEV. Sin embargo, si especificas la marca --confidential-node-type en el mismo comando, GKE usa el valor que especificas en la marca --confidential-node-type.

Actualiza un grupo de nodos existente

Este cambio requiere volver a crear los nodos, lo que puede causar interrupciones en tus cargas de trabajo en ejecución. Para obtener detalles sobre este cambio específico, busca la fila correspondiente en la tabla de cambios manuales que recrean los nodos con una estrategia de actualización de nodos sin respetar las políticas de mantenimiento. Para obtener más información sobre las actualizaciones de nodos, consulta Planificación de interrupciones por actualizaciones de nodos.

Puedes actualizar los grupos de nodos existentes para que usen Confidential GKE Nodes o para cambiar la tecnología de Confidential Computing que usan los nodos. Para actualizar un grupo de nodos existente para usar Confidential GKE Node, ejecuta el siguiente comando:

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Reemplaza lo siguiente:

  • NODE_POOL_NAME: es el nombre de tu grupo de nodos.
  • CLUSTER_NAME: El nombre de tu clúster.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: Es la tecnología de Confidential Computing que se usará. Se admiten los siguientes valores:

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

Los nodos ya deben usar un tipo de máquina que admita la tecnología de Confidential Computing para la que actualizas los nodos. Si tus nodos usan un tipo de máquina que no admite la tecnología que elegiste (por ejemplo, si usas un tipo de máquina que tiene CPU de AMD y quieres habilitar Intel TDX), haz lo siguiente:

  1. Si el grupo de nodos ya usa Confidential GKE Nodes, inhabilita Confidential GKE Nodes.
  2. Cambia el tipo de máquina del grupo de nodos.
  3. Ejecuta el comando anterior para actualizar el grupo de nodos y usar el nuevo parámetro de configuración de Confidential Computing.

Usa Confidential GKE Nodes con el aprovisionamiento automático de nodos

Puedes configurar el aprovisionamiento automático de nodos para usar Confidential GKE Nodes en grupos de nodos aprovisionados automáticamente. El aprovisionamiento automático de nodos admite las siguientes tecnologías de Confidential Computing:

  • AMD SEV
  • AMD SEV-SNP

Para usar nodos confidenciales de GKE con el aprovisionamiento automático de nodos, especifica la marca --enable-confidential-nodes de gcloud CLI cuando crees un clúster, crees un grupo de nodos o actualices un grupo de nodos. Se aplican las siguientes consideraciones adicionales:

  • Crea un grupo de nodos aprovisionado automáticamente nuevo: Asegúrate de que la tecnología de Confidential Computing que elijas sea compatible con el aprovisionamiento automático de nodos.
  • Actualiza un grupo de nodos existente: Asegúrate de que la tecnología de Confidential Computing que elijas sea compatible con el aprovisionamiento automático de nodos.
  • Crea un clúster nuevo: Asegúrate de que la tecnología de Confidential Computing que elijas sea compatible con el aprovisionamiento automático de nodos. Esta elección es irreversible a nivel del clúster.
  • Actualiza un clúster existente: El clúster ya debe usar Confidential GKE Nodes. La tecnología de Confidential GKE Nodes que usa el clúster debe ser compatible con el aprovisionamiento automático de nodos.

Coloca cargas de trabajo solo en grupos de nodos de Confidential GKE Nodes

Si habilitas Confidential GKE Nodes a nivel del clúster, todas tus cargas de trabajo se ejecutarán en nodos confidenciales. No es necesario que realices cambios en tus manifiestos. Sin embargo, si solo habilitas Confidential GKE Node para grupos de nodos específicos del modo estándar, debes expresar de forma declarativa que tus cargas de trabajo solo deben ejecutarse en grupos de nodos con Confidential GKE Node.

  • Para requerir que una carga de trabajo se ejecute en una tecnología de Confidential Computing específica, usa un selector de nodos con la etiqueta cloud.google.com/gke-confidential-nodes-instance-type, como en el siguiente ejemplo:

    apiVersion: v1
kind: Pod
spec:
# For readability, lines are omitted from this example manifest
  nodeSelector:
    cloud.google.com/gke-confidential-nodes-instance-type: "CONFIDENTIAL_COMPUTE_SELECTOR"

    Reemplaza CONFIDENTIAL_COMPUTE_SELECTOR por el nombre de la tecnología que usa el grupo de nodos. Este campo admite los siguientes valores, que debes especificar en mayúsculas:

    • SEV: AMD SEV
    • SEV_SNP: AMD SEV-SNP
    • TDX: Intel TDX

  • Para permitir que una carga de trabajo se ejecute en cualquier nodo confidencial, independientemente de la tecnología de Confidential Computing, usa una regla de afinidad de nodos, como en el siguiente ejemplo:

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: Exists

  • Para permitir que una carga de trabajo se ejecute en nodos que usan solo un subconjunto de las tecnologías de Confidential Computing disponibles, usa una regla de afinidad de nodos similar al siguiente ejemplo:

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: In
            values:
            - SEV
            - SEV_SNP
            - TDX

    En el campo values, especifica solo las tecnologías de Confidential Computing en las que deseas ejecutar la carga de trabajo.

Verifica que Confidential GKE Nodes estén habilitados

Puedes inspeccionar los clústeres o nodos para verificar si usan Confidential GKE Nodes.

En clústeres en modo Autopilot o Standard

Puedes verificar que tu clúster de Autopilot o Standard esté usando Confidential GKE Nodes con gcloud CLI o laGoogle Cloud consola.

gcloud

Describe el clúster:

gcloud container clusters describe CLUSTER_NAME

Si Confidential GKE Nodes está habilitado, el resultado es similar al siguiente, según el modo de operación del clúster.

Clústeres en modo estándar

confidentialNodes:
  confidentialInstanceType: CONFIDENTIAL_COMPUTE_SELECTOR

Clústeres en modo Autopilot

confidentialNodes:
  enabled: true

Console

  1. Ve a la página Google Kubernetes Engine en la consola de Google Cloud .

    Ir a Google Kubernetes Engine

  2. Haz clic en el nombre del clúster que deseas inspeccionar.

  3. Debajo de Seguridad, en el campo Confidential GKE Nodes, verifica si los Confidential GKE Node están Habilitados.

En nodos de modo Autopilot o Standard

Para verificar si nodos específicos de Autopilot o Standard usan Confidential GKE Nodes, haz lo siguiente:

  1. Busca el nombre del nodo:

    kubectl get nodes

  2. Describe el nodo:

    kubectl describe NODE_NAME

    Reemplaza NODE_NAME por el nombre de un nodo para inspeccionar.

El resultado es similar a este:

Name:               gke-cluster-1-default-pool-affsf335r-asdf
Roles:              <none>
Labels:             cloud.google.com/gke-boot-disk=pd-balanced
                    cloud.google.com/gke-container-runtime=containerd
                    cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR
                    cloud.google.com/gke-nodepool=default-pool
                    cloud.google.com/gke-os-distribution=cos
                    cloud.google.com/machine-family=e2
# lines omitted for clarity

En este resultado, la etiqueta de nodo cloud.google.com/gke-confidential-nodes-instance-type indica que el nodo es confidencial.

En grupos de nodos de modo Standard

Para verificar que tu grupo de nodos use Confidential GKE Node, ejecuta el siguiente comando:

gcloud container node-pools describe NODE_POOL_NAME \
    --cluster=CLUSTER_NAME

Si Confidential GKE Node están habilitado, el resultado es similar al siguiente:

confidentialNodes:
  cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR

Si el parámetro de configuración del modo confidencial para Hyperdisk Balanced está habilitado, el resultado es similar al siguiente:

enableConfidentialStorage: true

En nodos individuales del modo estándar

Para validar la confidencialidad de nodos específicos en clústeres estándar, realiza cualquiera de las siguientes acciones:

Establece restricciones de políticas de la organización

Puedes definir una restricción de política de la organización para garantizar que todos los recursos de VM creados en tu organización sean instancias de Confidential VMs. Para GKE, puedes personalizar la restricción Restringir el procesamiento no confidencial para exigir que todos los clústeres nuevos se creen con una de las tecnologías de Confidential Computing disponibles habilitadas. Agrega el nombre del servicio de la API container.googleapis.com a la lista de denegación cuando apliques restricciones de políticas de la organización, como en el siguiente ejemplo:

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com container.googleapis.com \
    --project=PROJECT_ID

Reemplaza PROJECT_ID con el ID del proyecto.

Crea un PersistentVolume para el modo confidencial de Hyperdisk Balanced

Para obtener orientación sobre los valores permitidos de capacidad de procesamiento o IOPS, consulta Planifica el nivel de rendimiento del volumen de Hyperdisk.

En los siguientes ejemplos, se muestra cómo puedes crear una StorageClass de modo confidencial para Hyperdisk Balanced para cada tipo de Hyperdisk:

Hiperdisco balanceado

  1. Guarda el siguiente manifiesto como un archivo llamado confidential-hdb-example-class.yaml:

    apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: balanced-storage
provisioner: pd.csi.storage.gke.io
volumeBindingMode: WaitForFirstConsumer
allowVolumeExpansion: true
parameters:
  type: hyperdisk-balanced
  provisioned-throughput-on-create: "250Mi"
  provisioned-iops-on-create: "7000"
  enable-confidential-storage: true
  disk-encryption-kms-key: "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/HSM_KEY_NAME"

    Reemplaza lo siguiente:

    • KMS_PROJECT_ID: Es el proyecto que posee la clave de Cloud KMS
    • REGION: Es la región en la que se encuentra el disco.
    • KEY_RING: es el nombre del llavero de claves que incluye la clave.
    • HSM_KEY_NAME: Es el nombre de la clave del HSM que se usa para encriptar el disco.

  2. Crea la StorageClass:

    kubectl create -f hdb-example-class.yaml

  3. Crea un reclamo de volumen persistente de Hyperdisk para GKE que use tu volumen de modo confidencial para Hyperdisk Balanced.

Para encontrar el nombre de la StorageClass disponible en tu clúster, ejecuta el siguiente comando:

kubectl get sc

Limitaciones

Confidential GKE Nodes tienen las siguientes limitaciones:

Limitaciones de la migración en vivo

Las Confidential VMs de Compute Engine que usan el tipo de máquina N2D y la tecnología de Confidential Computing de AMD SEV admiten la migración en vivo, lo que minimiza la posible interrupción de la carga de trabajo a causa del evento de mantenimiento del host. La migración en vivo se produce en las siguientes versiones de GKE:

  • 1.27.10-gke.1218000 y versiones posteriores
  • 1.28.6-gke.1393000 y versiones posteriores
  • 1.29.1-gke.1621000 y versiones posteriores

Si tus grupos de nodos ya ejecutaban una versión compatible cuando se agregó la migración en vivo, actualiza los grupos de nodos de forma manual a la misma versión compatible o a una diferente. La actualización de los nodos activa la recreación de nodos, y los nodos nuevos tienen habilitada la migración en vivo.

Para obtener detalles sobre qué tipos de máquinas de Compute Engine admiten la migración, consulta Parámetros de configuración compatibles.

Si se trata de un evento de mantenimiento del host, en un nodo que no admite la migración en vivo, el nodo ingresa en un estado de NotReady. Los Pods en ejecución experimentarán interrupciones hasta que el nodo vuelva a estar listo. Si el mantenimiento lleva más de cinco minutos, GKE podría intentar volver a crear los Pods en otros nodos.

Inhabilitar Confidential GKE Node

Solo puedes inhabilitar Confidential GKE Nodes en grupos de nodos del modo estándar. Si el grupo de nodos se encuentra en un clúster que usa Confidential GKE Nodes a nivel del clúster, no puedes inhabilitar la función a nivel del grupo de nodos.

Ejecuta el siguiente comando para inhabilitar los Confidential GKE Nodes en un grupo de nodos:

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --no-enable-confidential-nodes

Este cambio requiere volver a crear los nodos, lo que puede causar interrupciones en tus cargas de trabajo en ejecución. Para obtener detalles sobre este cambio específico, busca la fila correspondiente en la tabla de cambios manuales que recrean los nodos con una estrategia de actualización de nodos sin respetar las políticas de mantenimiento. Para obtener más información sobre las actualizaciones de nodos, consulta Planificación de interrupciones por actualizaciones de nodos.

¿Qué sigue?