プロファイル適用性: レベル1
シールドされたGKEノードの変更監視を有効にして、ノードの起動シーケンス中の不整合を通知します。
変更監視は、Shielded GKEノードに対してアクティブなアラートを提供し、管理者が整合性の失敗に対応し、侵害されたノードがクラスターに展開されるのを防ぐことができます。
 |
注意変更監視はGKEクラスターではデフォルトで無効になっています。変更監視はShielded GKEノードではデフォルトで有効になっていますが、作成時にセキュアブートが有効になっている場合、変更監視は無効になります。
|
監査
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- テスト中のクラスターの名前をクラスターのリストからクリックしてください。
- クラスター内の各ノードプールの詳細ペインを開き、セキュリティの見出しの下で変更監視が
Enabledに設定されていることを確認してください。
コマンドラインの使用:
クラスター内のノードプールに対して変更監視が有効かどうかを確認するには、各ノードプールに対して次のコマンドを実行してください。
gcloud container node-pools describe <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --format json | jq .config.shieldedInstanceConfig
変更監視が有効になっている場合、次の内容が返されます。
{
"enableIntegrityMonitoring": true
}
修復
ノードプールがプロビジョニングされると、変更監視を有効にするために更新することはできません。変更監視を有効にした新しいノードプールをクラスター内に作成する必要があります。
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- クラスターのリストから更新が必要なクラスターをクリックし、[ADD NODE POOL]をクリックしてください。
- シールドオプション見出しの下にある変更監視チェックボックスがオンになっていることを確認してください。
- [保存] をクリックします。
既存の非準拠ノードプールからのワークロードは、新しく作成されたノードプールに移行する必要があります。その後、非準拠ノードプールを削除して修復を完了します。
コマンドラインの使用:
クラスター内に変更監視が有効なノードプールを作成するには、次のコマンドを実行してください。
gcloud container node-pools create <node_pool_name> --cluster <cluster_name> --zone <compute_zone> --shielded-integrity-monitoring
既存の非準拠ノードプールからのワークロードは、新しく作成されたノードプールに移行する必要があります。その後、非準拠ノードプールを削除して修復を完了します