Déployer une application sur GKE et afficher les insights sur la sécurité

Découvrez comment déployer un conteneur intentionnellement vulnérable dans un cluster GKE et obtenir des insights sur la sécurité de la faille dans le tableau de bord de la stratégie de sécurité. Le tableau de bord de stratégie de sécurité GKE affiche des informations sur les failles connues du système d'exploitation. Si vous souhaitez également analyser les failles des packages Go ou Java, consultez la section Créer une application et afficher des insights de sécurité.

Objectifs

  • Créez et transférez une application conteneurisée vers Artifact Registry à l'aide de Cloud Build.
  • Créez un pipeline de livraison dans Cloud Deploy.
  • Déployez l'application dans un cluster GKE de préproduction et passez-la à un cluster de production.
  • Affichez des insights sur les failles de l'application déployée à l'aide du tableau de bord sur l'état de la sécurité dans la console Google Cloud.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. Install the Google Cloud CLI.
  3. To initialize the gcloud CLI, run the following command:

    gcloud init
  4. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Artifact Registry, Cloud Build, Cloud Deploy, Google Kubernetes Engine, Container Security, and Container Analysis APIs:

    gcloud services enable artifactregistry.googleapis.com cloudbuild.googleapis.com clouddeploy.googleapis.com container.googleapis.com containersecurity.googleapis.com  containeranalysis.googleapis.com
  7. Install the Google Cloud CLI.
  8. To initialize the gcloud CLI, run the following command:

    gcloud init
  9. Create or select a Google Cloud project.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Artifact Registry, Cloud Build, Cloud Deploy, Google Kubernetes Engine, Container Security, and Container Analysis APIs:

    gcloud services enable artifactregistry.googleapis.com cloudbuild.googleapis.com clouddeploy.googleapis.com container.googleapis.com containersecurity.googleapis.com  containeranalysis.googleapis.com

Une fois que vous avez terminé les tâches décrites dans ce document, vous pouvez éviter de continuer à payer des frais en supprimant les ressources que vous avez créées. Pour en savoir plus, consultez la section Effectuer un nettoyage.

Préparer votre environnement

  1. Définissez votre ID de projet en tant que variable d'environnement :

    export PROJECT_ID=$(gcloud config get project)
    
  2. Définissez la région Google Cloud par défaut pour Cloud Deploy:

    gcloud config set deploy/region us-central1
    
  3. Clonez le dépôt GitHub contenant l'exemple de code pour cette tâche:

    git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git
    cd ~/software-delivery-shield-demo-java/backend
    
  4. Créer un compte de service IAM pour votre GKE

    clusters à utiliser:

    gcloud iam service-accounts create sds-runtime \
        --display-name="Security insights with GKE service account"
    
  5. Accordez des autorisations au compte de service IAM:

    gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \
        --role="roles/container.nodeServiceAccount"
    gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \
        --role="roles/clouddeploy.jobRunner"
    gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \
        --role="roles/container.developer"
    gcloud projects add-iam-policy-binding $PROJECT_ID \
        --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \
        --role="roles/artifactregistry.reader"
    
  6. Accordez l'accès au compte de service Compute Engine par défaut aux clusters GKE. Cloud Deploy utilise cet accès pour déployer des applications sur les clusters de votre pipeline de livraison.

    PROJECT_NUMBER="$(gcloud projects describe ${PROJECT_ID} --format='get(projectNumber)')"
    gcloud projects add-iam-policy-binding ${PROJECT_NUMBER} \
        --member=serviceAccount:${PROJECT_NUMBER}-compute@developer.gserviceaccount.com \
        --role=roles/container.developer
    

Créer le dépôt Artifact Registry pour votre image

  1. Créez le dépôt :

    gcloud artifacts repositories create containers \
        --repository-format=docker \
        --location=us-central1 \
        --description="Security insights with GKE repository"
    
  2. Vérifiez que le dépôt existe:

    gcloud artifacts repositories list \
        --location=us-central1 \
        --filter="REPOSITORY:containers"
    

    La sortie affiche le dépôt containers que vous avez créé.

Créer les clusters GKE

Créez deux clusters GKE, un cluster de préproduction nommé dev-cluster et un cluster de production nommé prod-cluster. Dans Autopilot, l'analyse des failles des charges de travail est automatiquement activée pour les nouveaux clusters exécutant la version 1.27 ou ultérieure. Si vous utilisez un cluster standard, spécifiez l'option --workload-vulnerability-scanning=standard.

gcloud container clusters create-auto dev-cluster \
    --region=us-central1 \
    --release-channel=rapid \
    --service-account=sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com
gcloud container clusters create-auto prod-cluster \
    --region=us-central1 \
    --release-channel=rapid \
    --service-account=sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com

La création d'un cluster peut prendre jusqu'à cinq minutes. Vous pouvez également activer l'analyse des failles des charges de travail en mettant à jour des clusters GKE existants.

Créer l'image

Créez et envoyez l'image à l'aide de Cloud Build:

gcloud builds submit --region us-central1 --config cloudbuild.yaml

Une fois la compilation terminée, le résultat ressemble à ce qui suit:

DONE
-----------------------------------------------------------------------------
ID: 3e23094f-7f57-4449-bc68-51c37hn34d03
CREATE_TIME: 2022-09-19T15:41:07+00:00
DURATION: 54S
SOURCE: gs://my-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f.tgz
IMAGES: us-central1-docker.pkg.dev/PROJECT_ID/containers/java-guestbook-backend:quickstart
STATUS: SUCCESS

Déployer l'image sur GKE à l'aide de Cloud Deploy

  1. Remplacez l'ID de votre projet dans le fichier de configuration de Cloud Deploy:

    sed -i "s/PROJECT_ID/${PROJECT_ID}/g" clouddeploy.yaml
    
  2. Enregistrez le pipeline et les cibles:

    gcloud deploy apply --file=clouddeploy.yaml
    
  3. Pour vérifier que votre pipeline existe, accédez à la page Pipelines de diffusion dans la console Google Cloud:

    Accéder à "Pipelines de livraison"

    La liste des pipelines affiche votre nouveau pipeline, guestbook-app-delivery.

  4. Cliquez sur le nom du pipeline pour surveiller sa progression. La page Détails du pipeline de diffusion s'ouvre.

  5. Créez une version dans Cloud Deploy:

    gcloud deploy releases create guestbook-release-001 \
        --delivery-pipeline=guestbook-app-delivery \
        --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart
    

    La nouvelle version apparaît dans la section Versions de la page Détails du pipeline de diffusion.

  6. Sur la page Détails du pipeline de diffusion, surveillez la vue Visualisation du pipeline jusqu'à ce que le bouton Promouvoir s'affiche pour dev-cluster. Vous devrez peut-être actualiser la page.

  7. Cliquez sur Promouvoir dans la visualisation dev-cluster.

  8. Dans le volet Promouvoir la version, cliquez sur Promouvoir pour confirmer la promotion vers votre cluster de production.

  9. Pour vérifier que votre version a bien été publiée, consultez la section Versions. La colonne État du dernier déploiement affiche Successfully deployed to prod-cluster.

Afficher les failles

Dans cette section, consultez les insights sur les failles de l'OS à l'aide du tableau de bord sur l'état de la sécurité. Le tableau de bord affiche des informations sur les failles de vos charges de travail en cours d'exécution après leur déploiement dans vos clusters.

  1. Accédez à la page Stratégie de sécurité GKE dans la console Google Cloud.

    Accéder à la page "Stratégie de sécurité de GKE"

  2. Pour afficher les résultats de l'analyse, actualisez la page. L'analyse initiale peut prendre jusqu'à 15 minutes.

  3. Sur la page Stratégie de sécurité GKE, consultez la section Faille de l'OS de la charge de travail. Cette section liste les principaux CVE affectant votre charge de travail déployée.

  4. Pour en savoir plus, cliquez sur Afficher tous les problèmes de failles. L'onglet Problèmes s'ouvre et applique un filtre pour le type de problème Faille. Le tableau présente un aperçu de chaque faille et de son impact.

  5. Pour en savoir plus sur une faille spécifique, cliquez sur le nom du problème dans le tableau. Le volet Vulnérabilité s'ouvre. Dans ce volet, vous pouvez effectuer les opérations suivantes:

    • Lisez une description détaillée de la CVE, y compris les versions et les paquets concernés, ainsi que le score CVSS.
    • Consultez les actions recommandées pour atténuer le problème, telles que la documentation et les informations sur les versions de correctifs.
    • Consultez les charges de travail spécifiques concernées par la faille dans l'onglet Charges de travail concernées.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page ne soient facturées sur votre compte Google Cloud, supprimez le projet Google Cloud contenant les ressources.

Supprimer des ressources individuelles

  1. Supprimez le pipeline Cloud Deploy :

    gcloud deploy delivery-pipelines delete guestbook-app-delivery --force
    
  2. Supprimez les clusters GKE :

    gcloud container clusters delete dev-cluster \
        --region=us-central1
    gcloud container clusters delete prod-cluster \
        --region=us-central1
    
  3. Supprimez le dépôt Artifact Registry :

    gcloud artifacts repositories delete containers \
        --location=us-central1
    
  4. Supprimez le compte de service IAM:

    gcloud iam service-accounts delete sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com
    

Supprimer le projet

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Étape suivante