ビュー:
プロファイル適用性: レベル1
Shielded GKE Nodesは、セキュアブート、仮想トラステッドプラットフォームモジュール (vTPM) 対応の測定ブート、および変更監視を通じて検証可能な整合性を提供します。
Shielded GKEノードは、ブートまたはカーネルレベルの不正プログラムや、感染したOSを超えて持続するルートキットからクラスターを保護します。
Shielded GKEノードは、Googleの証明機関を使用して署名および検証されたファームウェアを実行し、ノードのファームウェアが改ざんされていないことを保証し、Secure Bootの信頼の根源を確立します。GKEノードのアイデンティティは、仮想Trusted Platform Module (vTPM) を介して強力に保護され、ノードがクラスターに参加する前にマスターノードによってリモートで検証されます。最後に、GKEノードの整合性 (つまり、ブートシーケンスとカーネル) は測定され、リモートで監視および検証することができます。
注意
注意
クラスターは、バージョンv1.18からデフォルトでShielded GKEノードが有効になります。

影響

Shielded GKE Nodesがクラスターで有効化されると、Shielded GKE Nodesが有効化されていないノードプールで作成されたノードや、ノードプール外で作成されたノードはクラスターに参加できません。
Shielded GKEノードは、Container-Optimized OS (COS)、containerdを使用したCOS、およびUbuntuノードイメージでのみ使用できます。

監査

Google Cloud Consoleを使用する:
  1. Kubernetes Engine のウェブサイトにアクセスしてください。
  2. テスト対象のクラスターをクラスターのリストから選択してください。
  3. 詳細ペインでShielded GKE NodesEnabledになっていることを確認してください。
コマンドラインの使用:
次のコマンドを実行します。
gcloud container clusters describe <cluster_name> --format json | jq '.shieldedNodes'
Shielded GKEノードが有効になっている場合、次の内容が返されます:
{ 
    "enabled": true 
}

修復

注意
注意
バージョン1.18から、クラスターはデフォルトでShielded GKEノードが有効になります。
Google Cloud Consoleを使用する:
既存のクラスターをShielded GKEノードに更新するには:
  1. Kubernetes Engine のウェブサイトにアクセスしてください。
  2. Shielded GKE Nodesを有効にするクラスターを選択してください。
  3. 詳細ペイン内のセキュリティ見出しの下にある、[Edit Shields GKE nodes]という名前の鉛筆アイコンをクリックしてください。
  4. [Enable Shield GKE nodes]という名前のボックスをチェックしてください。
  5. [SAVE CHANGES]をクリックしてください。
コマンドラインの使用:
既存のクラスターを移行するには、クラスター更新コマンドでフラグ--enable-shielded-nodesを指定する必要があります。
gcloud container clusters update <cluster_name> --zone <cluster_zone> --enable-shielded-nodes