보안 GKE 노드 사용


이 페이지에서는 보안 GKE 노드 기능을 사용하는 방법을 보여줍니다. 보안 GKE 노드는 강력하고 검증 가능한 노드 ID와 무결성을 제공하여 Google Kubernetes Engine(GKE) 노드의 보안을 강화합니다.

GKE Autopilot 클러스터의 경우 보안 GKE 노드 기능이 기본적으로 사용 설정되어 있으며 재정의될 수 없습니다. GKE Standard 클러스터의 경우 보안 GKE 노드 기능이 기본적으로 사용 설정되어 있지만 재정의할 수 있습니다.

보안 GKE 노드 정보

보안 GKE 노드는 Compute Engine 보안 VM 위에 구축됩니다. 보안 GKE 노드가 없으면 공격자가 Pod의 취약점을 악용하여 부트스트랩 사용자 인증 정보를 유출하고 클러스터에 있는 노드로 가장하여 클러스터 보안 비밀에 액세스할 수 있습니다. 보안 GKE 노드가 사용 설정되면 GKE 제어 영역은 암호화된 방식으로 다음을 확인합니다.

  • 클러스터의 모든 노드는 Google의 데이터 센터에서 실행되는 가상 머신입니다.
  • 모든 노드는 클러스터에 프로비저닝된 관리형 인스턴스 그룹(MIG)의 일부입니다.
  • kubelet이 실행 중인 노드에 대한 인증서를 kubelet에 프로비저닝하는 중입니다.

이렇게 하면 공격자가 노드의 부트스트랩 사용자 인증 정보를 유출할 수 있더라도 클러스터의 노드로 가장하는 능력이 제한됩니다.

GKE 클러스터 제어 영역 노드는 클러스터에서 이 기능을 사용 중지하더라도 항상 보안 GKE 노드를 사용합니다. 보안 GKE 노드를 사용 설정하거나 사용 중지하면 사용자의 워크로드를 실행하는 워커 노드가 이 기능을 사용하는지 여부에만 영향을 미칩니다.

가격 책정

보안 GKE 노드를 실행하는 데 추가 비용이 들지 않습니다. 하지만 보안 GKE 노드는 표준 노드보다 시작 시 로그가 약 0.5KB 더 많이 생성됩니다. 자세한 내용은 Cloud Logging 가격 책정 페이지를 참조하세요.

시작하기 전에

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

  • Google Kubernetes Engine API를 사용 설정합니다.
  • Google Kubernetes Engine API 사용 설정
  • 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우 gcloud components update를 실행하여 최신 버전을 가져옵니다.

새 클러스터에서 보안 GKE 노드 사용 설정

gcloud CLI 또는 Google Cloud 콘솔을 사용하여 보안 GKE 노드가 사용 설정된 새 클러스터를 만들 수 있습니다.

gcloud

새 클러스터를 만들 때 --enable-shielded-nodes 옵션을 지정합니다.

gcloud container clusters create CLUSTER_NAME \
    --enable-shielded-nodes

콘솔

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 만들기를 클릭합니다.

  3. 탐색창의 클러스터에서 보안을 클릭합니다.

  4. 보안 GKE 노드 사용 설정 체크박스를 선택합니다.

  5. 원하는 대로 클러스터를 구성합니다.

  6. 만들기를 클릭합니다.

클러스터 만들기에 대한 자세한 내용은 클러스터 만들기를 참조하세요.

기존 클러스터에서 보안 GKE 노드 사용 설정

Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 기존 클러스터에서 보안 GKE 노드를 사용 설정할 수 있습니다.

보안 GKE 노드를 사용 설정하면 워커 노드가 보안 VM으로 다시 생성됩니다. 클러스터 노드는 다운타임을 최소화하기 위해 순환 방식으로 다시 생성됩니다.

gcloud

클러스터를 업데이트할 때 --enable-shielded-nodes 옵션을 지정하세요.

gcloud container clusters update CLUSTER_NAME \
    --enable-shielded-nodes

콘솔

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 수정할 클러스터의 이름을 클릭합니다.

  3. 보안보안 GKE 노드 필드에서 보안 GKE 노드 수정을 클릭합니다.

  4. 보안 GKE 노드 사용 설정 체크박스를 선택합니다.

  5. 변경사항 저장을 클릭합니다.

보안 GKE 노드가 사용 설정되어 있는지 확인

클러스터가 Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 보안 GKE 노드를 사용하고 있는지 확인합니다.

gcloud

클러스터를 설명합니다.

gcloud container clusters describe CLUSTER_NAME

보안 GKE 노드가 사용 설정되면 명령어의 결과에 다음과 같은 줄이 포함됩니다.

shieldedNodes:
  enabled: true

콘솔

클러스터가 보안 GKE 노드를 사용하는지 확인하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 검사할 클러스터의 이름을 클릭합니다.

  3. 보안보안 GKE 노드 필드에서 보안 GKE 노드가 사용 설정되었는지 확인합니다.

노드의 기본 보안 VM의 무결성을 모니터링할 수도 있습니다. 모니터링 절차는 보안 VM 인스턴스의 무결성 모니터링을 참조하세요.

보안 GKE 노드 사용 중지

Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 보안 GKE 노드를 중지할 수 있습니다.

gcloud

클러스터를 업데이트할 때 --no-enable-shielded-nodes 옵션을 지정하세요.

gcloud container clusters update CLUSTER_NAME \
    --no-enable-shielded-nodes

콘솔

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 수정할 클러스터의 이름을 클릭합니다.

  3. 보안보안 GKE 노드 필드에서 보안 GKE 노드 수정을 클릭합니다.

  4. 보안 GKE 노드 사용 설정 체크박스를 선택 취소합니다.

  5. 변경사항 저장을 클릭합니다.

보안 GKE 노드를 사용 중지하면 노드가 일반 비보안 VM으로 다시 생성됩니다. 클러스터 노드는 다운타임을 최소화하기 위해 순환 방식으로 다시 생성됩니다.

노드 무결성

선택적으로 노드 풀에서 노드 무결성 검사를 구성하여 노드에 향상된 루트키트 및 부트키트 보호를 제공할 수 있습니다. 보안 GKE 노드, 보안 부팅, 무결성 모니터링은 각각 개별적으로 사용 설정 또는 중지될 수 있는 독립 기능입니다.

보안 부팅

보안 부팅이 사용 설정되면 타사의 서명되지 않은 커널 모듈을 로드할 수 없으므로 GKE에서는 보안 부팅이 기본적으로 사용 중지됩니다.

서명되지 않은 타사 커널 모듈을 사용하지 않는 경우 Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 보안 부팅을 사용 설정할 수 있습니다.

gcloud

클러스터를 만들 때 보안 부팅을 사용 설정하려면 다음 안내를 따르세요.

gcloud container clusters create CLUSTER_NAME \
    --shielded-secure-boot

노드 풀을 만들 때 보안 부팅을 사용 설정하려면 다음 안내를 따르세요.

gcloud container node-pools create POOL_NAME \
    --shielded-secure-boot

보안 부팅은 기본적으로 사용 중지됩니다. 클러스터 또는 노드 풀을 만들 때 --no-shielded-secure-boot 옵션을 사용하여 이를 명시적으로 사용 중지할 수 있습니다.

콘솔

노드 풀을 만들 때 보안 부팅을 사용 설정하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 수정할 클러스터의 이름을 클릭합니다.

  3. 노드 풀 추가를 클릭합니다.

  4. 탐색 메뉴에서 보안을 클릭합니다.

  5. 보안 옵션에서 보안 부팅 사용 설정 체크박스를 선택합니다.

  6. 만들기를 클릭합니다.

무결성 모니터링

무결성 모니터링은 GKE에서 기본적으로 사용 설정되는 노드 풀 설정입니다. Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 무결성 모니터링을 중지할 수 있습니다.

gcloud

클러스터를 만들 때 시스템 구성요소의 무결성 모니터링을 사용 중지하려면 다음 명령어를 사용하세요.

gcloud container clusters create CLUSTER_NAME \
    --no-shielded-integrity-monitoring

노드 풀을 만들 때 시스템 구성요소의 무결성 모니터링을 사용 중지하려면 다음 명령어를 사용하세요.

gcloud container node-pools create POOL_NAME \
    --no-shielded-integrity-monitoring

무결성 모니터링은 기본적으로 사용 설정됩니다. 클러스터 또는 노드 풀을 만들 때 --shielded-integrity-monitoring 옵션을 사용하여 이를 명시적으로 사용 중지할 수 있습니다.

콘솔

노드 풀을 만들 때 무결성 모니터링을 사용 중지하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Google Kubernetes Engine 페이지로 이동합니다.

    Google Kubernetes Engine으로 이동

  2. 수정할 클러스터의 이름을 클릭합니다.

  3. 노드 풀 추가를 클릭합니다.

  4. 탐색 창에서 보안을 클릭합니다.

  5. 보안 옵션에서 무결성 모니터링 사용 설정 체크박스를 선택 취소합니다.

다음 단계