Documentación de Oracle Cloud Infrastructure

Adición de atributos de seguridad a recursos relacionados con clusters y aplicación de políticas ZPR

Descubra cómo agregar atributos de seguridad de ZPR a recursos relacionados con clusters y cómo aplicar políticas de enrutamiento de paquetes de confianza cero (ZPR) con Kubernetes Engine (OKE).

El uso de Zero Trust Packet Routing (ZPR) con Kubernetes Engine le permite implementar un control de acceso detallado y con menos privilegios sobre las interacciones entre los recursos relacionados con el cluster y otros recursos de OCI. ZPR es especialmente útil en entornos donde los datos confidenciales u operaciones críticas se distribuyen entre varios recursos de OCI, y se requiere una separación y un control estrictos del acceso a los recursos. El uso de ZPR le ayuda a mitigar los riesgos asociados con el acceso no autorizado y a garantizar que solo se permitan explícitamente flujos de tráfico entre recursos protegidos, lo que respalda tanto las necesidades de cumplimiento como las políticas de seguridad organizativas.

Puede utilizar el enrutamiento de paquetes de confianza cero (ZPR) junto con grupos de seguridad de red y listas de seguridad para gestionar el acceso de red a los recursos de OCI. Para ello, defina las políticas de ZPR que rigen cómo se comunican los recursos entre sí y, a continuación, agregue atributos de seguridad de ZPR a esos recursos. Para obtener más información, consulte Zero Trust Packet Routing.

El uso de ZPR es opcional. Puede seguir usando OKE sin asignar atributos de seguridad de ZPR. Los controles de seguridad de red existentes, como los grupos de seguridad de red, las listas de seguridad y las políticas de red de Kubernetes, siguen funcionando con OKE. ZPR agrega otra capa de aplicación de red para los recursos que tienen atributos de seguridad y que coinciden con las políticas de ZPR.

Atención

Si un punto final tiene un atributo de seguridad de enrutamiento de paquetes de confianza cero (ZPR), el tráfico al punto final debe cumplir las políticas de ZPR, así como todas las reglas de lista de seguridad y grupo de seguridad de red. Por ejemplo, si ya está utilizando NSG y agrega un atributo de seguridad a un punto final sin crear también una política ZPR que permita el tráfico necesario, el tráfico al punto final se bloquea. A partir de ese momento, una política ZPR debe permitir explícitamente el tráfico al punto final.

Al migrar clusters existentes para utilizar ZPR, cree y pruebe las políticas de ZPR necesarias antes de eliminar las reglas de lista de seguridad o grupo de seguridad de red existentes. Por defecto, los recursos con atributos de seguridad ZPR no se pueden comunicar con los recursos que no tienen atributos de seguridad ZPR a menos que una política ZPR permita explícitamente ese tráfico.

Para utilizar ZPR con Kubernetes Engine, agregue atributos de seguridad a los recursos relacionados con el cluster soportados en un arrendamiento en el que ZPR esté disponible. Después de agregar un atributo de seguridad a un recurso, el recurso solo puede acceder a otros recursos de OCI si una política de ZPR permite el acceso.

Los atributos de seguridad se definen en un espacio de nombres de atributo de seguridad. Para agregar un atributo de seguridad a un recurso relacionado con el cluster, una política de IAM debe otorgar acceso al grupo al que pertenece al espacio de nombres en el que se define el atributo de seguridad. Para obtener más información, consulte políticas de IAM necesarias.

Para permitir que un recurso relacionado con el cluster con atributos de seguridad ZPR acceda a otro recurso, debe existir una política ZPR adecuada. Si los atributos de seguridad también se han agregado al otro recurso, cree una política ZPR que permita el acceso a los puntos finales con esos atributos de seguridad. Si el otro recurso no tiene atributos de seguridad ZPR o no puede tener atributos de seguridad ZPR porque el tipo de recurso no está soportado por ZPR, cree una política ZPR que permita el acceso mediante una dirección IP, un bloque CIDR o una expresión de punto final de servicio soportados. Sin una política ZPR adecuada, el acceso se bloquea en el nivel de red y pueden producirse errores de conexión. Para obtener más información, consulte Políticas de ZPR necesarias.

Tenga en cuenta los siguientes puntos:

  • Para ver los recursos relacionados con el cluster a los que se han agregado atributos de seguridad, utilice la página Consola de ZPR (consulte Listing Protected Resources en la documentación de ZPR).
  • Una vez agregados los atributos de seguridad a un recurso relacionado con el cluster, puede utilizar herramientas como Network Path Analyzer, cuando esté soportado, para ayudar a depurar cualquier problema de conectividad de red.
  • Si se suprime un atributo de seguridad del espacio de nombres de atributos de seguridad (mediante la consola ZPR, la CLI o la API) después de agregarlo a un recurso relacionado con el cluster, elimine el atributo de seguridad suprimido del recurso. De lo contrario, es posible que las políticas ZPR que hacen referencia al atributo de seguridad suprimido ya no permitan el tráfico esperado.

La forma en que se agregan o eliminan atributos de seguridad a los recursos relacionados con el cluster soportados o desde ellos depende del recurso, como se muestra en la siguiente tabla:

Recurso Dónde aplicar los atributos de seguridad Cómo aplicar atributos de seguridad Resultado
Punto final de API de Kubernetes del cluster Consola, CLI, API Defina la propiedad Atributo de seguridad de punto final del cluster (securityAttributes en la API) Los atributos de seguridad solo se aplican al punto final de API de Kubernetes del cluster. Estos atributos no se aplican a nodos de trabajador, pods, equilibradores de carga u otros recursos de cluster. Consulte Adición de atributos de seguridad al punto final de API de Kubernetes de un cluster.
VNIC primarias de instancias informáticas de nodos gestionados Consola, CLI, API Defina la propiedad Atributo de seguridad de VNIC de la VNIC principal del pool de nodos (securityAttributes en la API) Los atributos de seguridad se aplican a las VNIC primarias de las instancias informáticas que realizan una copia de seguridad de los nodos gestionados en el pool de nodos. Estos atributos se utilizan para el tráfico de nivel de nodo, como el tráfico de kubelet, el tráfico de Oracle Cloud Agent y el tráfico de pods que utilizan la red de host. Consulte Adición de atributos de seguridad a VNIC primarias de nodos gestionados.
VNIC secundarias de instancias informáticas de nodos gestionados Consola, CLI, API Defina la propiedad Atributo de seguridad de VNIC de las VNIC secundarias del pool de nodos (securityAttributes en la API) Los atributos de seguridad se aplican a las VNIC secundarias de las instancias informáticas que realizan copias de seguridad de los nodos gestionados en el pool de nodos. Si define varias VNIC secundarias para un pool de nodos gestionado, todas las VNIC secundarias del pool de nodos deben utilizar el mismo juego de atributos de seguridad. Consulte Adición de atributos de seguridad a VNIC secundarias de nodos gestionados.
Tráfico de pod de nodo autogestionado Creación de instancias informáticas Especifique los atributos de seguridad de ZPR para las VNIC secundarias al crear la instancia informática. No especifique atributos de seguridad de ZPR para VNIC secundarias en una configuración de instancia. Los atributos de seguridad se aplican a las VNIC secundarias utilizadas para el tráfico de pod. Consulte Trabajo con Nodos Autogestionados.
Servicios de Kubernetes de tipo LoadBalancer Anotación en manifiesto de servicio Agregue la anotación oci.oraclecloud.com/security-attributes al manifiesto de servicio. Kubernetes Engine aprovisiona equilibradores de carga y equilibradores de carga de red con los atributos de seguridad. Consulte Adición de atributos de seguridad a equilibradores de carga y equilibradores de carga de red aprovisionados para servicios de Kubernetes de tipo LoadBalancer.
Equilibradores de carga de controladores de entrada nativos Anotación en el manifiesto IngressClass Agregue la anotación oci-native-ingress.oraclecloud.com/security-attributes al manifiesto. El controlador de entrada nativo de OCI aprovisiona equilibradores de carga con los atributos de seguridad especificados. Consulte Adición de atributos de seguridad a equilibradores de carga aprovisionados por el controlador de entrada nativo de OCI.
Destino de montaje de almacenamiento de archivos creado por el plugin de volumen CSI Parámetro en el manifiesto StorageClass Agregue el parámetro securityAttributes al manifiesto. El plugin de volumen CSI crea el destino de montaje con los atributos de seguridad especificados. Consulte Adición de atributos de seguridad a destinos de montaje del servicio File Storage creados por el plugin de volumen CSI.

Tenga en cuenta que los atributos de seguridad de ZPR no son heredados por todos los recursos de un cluster. Los atributos de seguridad se asignan por separado para cada tipo de recurso soportado. Los atributos de seguridad de punto final de cluster solo se aplican al punto final de API de Kubernetes. Los atributos de seguridad del pool de nodos se aplican al nodo y a las VNIC de pod para los nodos de ese pool de nodos. Los equilibradores de carga, los equilibradores de carga de entrada nativos y los destinos de montaje de File Storage necesitan su propia configuración de atributo de seguridad.

Requisitos y limitaciones

Antes de utilizar el enrutamiento de paquetes de confianza cero (ZPR) con Kubernetes Engine, revise los siguientes requisitos y limitaciones:

  • Los atributos de seguridad de ZPR se admiten con pools de nodos gestionados y nodos autogestionados, pero no con pools de nodos virtuales.
  • Los atributos de seguridad de ZPR están soportados al crear clusters y al actualizar los clusters existentes, siempre que el punto final de API de Kubernetes del cluster esté integrado en su propia VCN (denominado "cluster nativo de VCN"). No puede utilizar atributos de seguridad de ZPR con clusters cuyos puntos finales de API de Kubernetes no estén integrados en su propia VCN. Consulte Migración a clusters de VCN y nativos.
  • El cluster de Kubernetes debe utilizar el plugin CNI de red VCN-nativa de pod de OCI para redes de pod. Los atributos de seguridad de ZPR no se admiten con clusters que utilizan el plugin flannel CNI. Además, la versión del plugin CNI de red de pod nativo de VCN de OCI debe admitir atributos de seguridad de ZPR. Si la versión del complemento no admite atributos de seguridad ZPR, Kubernetes Engine evita que utilice ZPR o falla el inicio del nodo antes de que se cree la instancia informática.
  • El cluster de Kubernetes debe ejecutar la versión 1.32 o posterior de Kubernetes.
  • Los espacios de nombres de atributos de seguridad adecuados, que contienen los atributos de seguridad ZPR que desea asignar a los recursos de OKE, ya deben existir. Puede crear y gestionar espacios de nombres de atributos de seguridad y atributos de seguridad en el servicio Zero Trust Packet Routing (ZPR). Consulte Creación de un Espacio de Nombres de Atributo de Seguridad y Creación de un Atributo de Seguridad.
  • Las políticas ZPR adecuadas que permiten el tráfico necesario ya deben existir. La asignación de los mismos atributos de seguridad a dos recursos no les permite comunicarse automáticamente. Debe crear políticas de ZPR que permitan las rutas de comunicación necesarias. Las políticas ZPR se crean y gestionan en el servicio Zero Trust Packet Routing (ZPR) (consulte Creating a ZPR Policy).
  • Deben existir los permisos de IAM adecuados para utilizar los espacios de nombres de atributos de seguridad ZPR necesarios. OCI IAM aplica el acceso a atributos de seguridad para recursos relacionados con el cluster, como puntos finales de API de Kubernetes, VNIC de nodo y equilibradores de carga. Para obtener más información, consulte políticas de IAM necesarias.

  • Si asigna atributos de seguridad a equilibradores de carga, equilibradores de carga de red o VNIC de pod, las políticas de IAM necesarias también deben permitir que los componentes del motor de Kubernetes que aprovisionen esos recursos asocien los atributos de seguridad especificados. Por ejemplo, el gestor de controladores en la nube y el controlador de entrada nativo de OCI necesitan una política de IAM adecuada para asociar los atributos de seguridad solicitados a los recursos que crean, como:

    Allow any-user to use security-attribute-namespace in tenancy where request.principal.type = 'cluster'

    Para obtener más información, consulte políticas de IAM necesarias.

  • ZPR no sustituye las políticas de red de Kubernetes y no aplica el tráfico entre pods en el mismo nodo de trabajador. Para controlar el tráfico de pod a pod dentro de un cluster, incluido el tráfico entre pods en el mismo nodo de trabajador, utilice las políticas de red de Kubernetes.
  • Los atributos de seguridad de ZPR se admiten al aprovisionar reclamaciones de volúmenes persistentes con sistemas de archivos del servicio File Storage, pero no con volúmenes en bloque del servicio Block Volume.

Políticas de IAM necesarias

Política de IAM necesaria para agregar atributos de seguridad a recursos relacionados con el cluster

Para poder agregar un atributo de seguridad a un recurso relacionado con el cluster, una política de IAM debe otorgar permiso al grupo al que pertenece para utilizar el espacio de nombres de atributo de seguridad que contiene el atributo de seguridad. Por ejemplo, con la siguiente sintaxis:

Allow group <group-name> to use security-attribute-namespaces in tenancy

Si utiliza la sentencia de política Allow group <group-name> to use security-attribute-namespaces in tenancy para otorgar a los usuarios acceso a los espacios de nombres de atributos de seguridad, tenga en cuenta que esta sentencia de política otorga al grupo permiso para utilizar todos los espacios de nombres de atributos de seguridad en el arrendamiento. Si considera que es demasiado permisiva, puede restringir los espacios de nombres de atributos de seguridad a las que el grupo tiene acceso incluyendo una cláusula where en la sentencia. Por ejemplo:

Allow group <group-name> to use security-attribute-namespaces in tenancy where target.security-attribute-namespace.name = 'oke-san'

Recuerde que si incluye una cláusula where, también debe incluir una segunda sentencia en la política para permitir al grupo inspeccionar todos los espacios de nombres de atributos de seguridad del arrendamiento (al utilizar la consola). Por ejemplo:

Allow group <group-name> to inspect security-attribute-namespaces in tenancy

Cuando se han agregado atributos de seguridad a un recurso relacionado con el cluster, el recurso solo puede acceder a otros recursos de OCI si una política de ZPR permite el acceso.

Tenga en cuenta que si no existe una política de IAM adecuada para utilizar el espacio de nombres de atributo de seguridad, no puede agregar el atributo de seguridad a un recurso relacionado con el cluster. El atributo de seguridad no se muestra en la consola y los intentos de agregar el atributo de seguridad mediante la CLI de OCI o la API fallan.

Políticas de IAM necesarias para permitir que los clusters y pools de nodos accedan a los espacios de nombres de atributos de seguridad

Al agregar atributos de seguridad a un recurso de cluster o a un recurso de pool de nodos, una política de IAM adecuada debe otorgar al cluster o al pool de nodos acceso a los espacios de nombres de atributos de seguridad necesarios. Por ejemplo:

Allow any-user to use security-attribute-namespace in compartment <compartment_name> where request.principal.type = 'cluster'
Allow any-user to manage security-attribute-namespace in compartment <compartment_name> where request.principal.type = 'nodepool'

Políticas de ZPR necesarias

Políticas de ZPR necesarias para permitir que los recursos relacionados con el cluster accedan a otros recursos

Cuando agrega un atributo de seguridad a un recurso relacionado con el cluster, el recurso solo puede acceder a otros recursos si una política de ZPR otorga acceso a esos recursos.

Si aún no existe una política ZPR adecuada, debe crear una. Por ejemplo, con la siguiente sintaxis:

in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to <destination-security-attribute> endpoints

donde:

  • <vcn-security-attribute> es un atributo (y un valor) de seguridad que se ha agregado a la VCN en la que reside la subred del recurso. Por ejemplo, VCN-Network:myVCN.
  • <application-security-attribute> es el atributo de seguridad (y el valor) que ha agregado al recurso relacionado con el cluster. Por ejemplo, oke-cluster:myclusterA
  • <destination-security-attribute> es un atributo de seguridad (y un valor) que se ha agregado al recurso al que desea que acceda el recurso relacionado con el cluster. Por ejemplo, DB-Server:App1

Por ejemplo:

in VCN-Network:myVCN VCN allow oke-cluster:myclusterA endpoints to connect to DB-Server:App1 endpoints

Para obtener más información sobre las políticas, la sintaxis y los ejemplos de ZPR, consulte Zero Trust Packet Routing Policy en la documentación de ZPR.

Políticas de ZPR necesarias cuando se agregan atributos de seguridad a VNIC principales de nodos gestionados

Al especificar atributos de seguridad ZPR para las VNIC primarias de instancias informáticas que realizan copias de seguridad de los nodos gestionados en un pool de nodos gestionados, se necesitan las siguientes políticas ZPR adicionales para permitir que los nodos gestionados se unan al cluster:

in zpr-cni.sensitivity:42 VCN allow zpr-cni.sensitivity:42 endpoints to connect to 'all-endpoints'
in zpr-cni.sensitivity:42 VCN allow all-endpoints to connect to zpr-cni.sensitivity:42 endpoints with protocol = 'tcp/443'

in zpr-cni.sensitivity:42 VCN allow zpr-cni.sensitivity:42 endpoints to connect to 'osn-services-ip-addresses'

Adición de atributos de seguridad al punto final de API de Kubernetes de un cluster

Puede agregar atributos de seguridad ZPR al punto final de API de Kubernetes al crear un cluster o al actualizar un cluster existente. Los atributos de seguridad de punto final de cluster solo se aplican al punto final de API de Kubernetes. Estos atributos de seguridad no se aplican a nodos de trabajador, pods, equilibradores de carga u otros recursos relacionados con el cluster.

Antes de agregar atributos de seguridad al punto final de API de Kubernetes, asegúrese de que una política de ZPR permita a los clientes autorizados acceder al punto final. Por ejemplo, cree una política ZPR que permita el acceso desde clientes que utilizan kubectl.

  • Para agregar atributos de seguridad al punto final de la API de Kubernetes de un nuevo cluster al crear el cluster con la consola, consulte Uso de la consola para crear un cluster con valores definidos explícitamente en el flujo de trabajo "Creación personalizada".

    Para agregar o eliminar atributos de seguridad al punto final de API de Kubernetes de un cluster existente mediante la consola:

    1. En la página de lista Clusters, seleccione el cluster con el punto final de API de Kubernetes al que desea agregar o eliminar atributos de seguridad. Si necesita ayuda para buscar la página de lista o el cluster, consulte Listing Clusters.

      El separador Seguridad muestra los atributos de seguridad que ya se han agregado al punto final de API de Kubernetes del cluster (si los hay).

    2. Para agregar un atributo de seguridad al punto final de API de Kubernetes del cluster:

      1. En el separador Seguridad, seleccione Agregar y en el cuadro de diálogo Agregar atributos de seguridad:
        • Seleccione el espacio de nombres de atributo de seguridad que contiene el atributo de seguridad.
        • Seleccione el atributos de seguridad.
        • Introduzca el valor del atributo seguridad.
      2. Si desea agregar varios atributos de seguridad al punto final de API de Kubernetes del cluster, seleccione Agregar y seleccione atributos de seguridad adicionales (hasta un máximo de cinco).
      3. Seleccione Agregar Atributos de Seguridad.

    3. Para eliminar un atributo de seguridad del punto final de API de Kubernetes del cluster:

      1. En el separador Seguridad, seleccione Suprimir en el menú Acciones (tres puntos) junto al atributo de seguridad que desea suprimir.
      2. Confirme que desea suprimir el atributo de seguridad.

    Los atributos de seguridad que se muestran en el separador Seguridad del cluster ahora se aplican al punto final de API de Kubernetes del cluster.

  • Utilice el comando oci ce cluster create y los parámetros necesarios para crear un cluster:

    oci ce cluster create --compartment-id <compartment-ocid> --kubernetes-version <kubernetes-version> --name <cluster-name> --vcn-id <vcn-ocid> [OPTIONS]

    Utilice el comando oci ce cluster update y los parámetros necesarios para actualizar un cluster:

    oci ce cluster update --cluster-id <cluster-ocid> [OPTIONS]

    Para obtener una lista completa de los indicadores y de las opciones de las variables para el comando de OCI CLI, consulte la Referencia de línea de comando.

  • Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

    Utilice estas operaciones de API para agregar o eliminar atributos de seguridad al punto final de API de Kubernetes de un cluster o desde este:

Adición de atributos de seguridad a las VNIC primarias de nodos gestionados

Puede especificar atributos de seguridad ZPR para las VNIC primarias de las instancias informáticas que realizan copias de seguridad de los nodos gestionados en un pool de nodos gestionados. Estos atributos de seguridad se especifican al crear un pool de nodos gestionado o al actualizar un pool de nodos gestionado existente. Los atributos de seguridad de VNIC principal se aplican a las nuevas instancias informáticas que se inician en el pool de nodos. Estos atributos de seguridad se utilizan para el tráfico de nivel de nodo, como el tráfico de kubelet, el tráfico de Oracle Cloud Agent y el tráfico de pods que utilizan la red de host. Estos atributos de seguridad no se aplican a las VNIC secundarias utilizadas para el tráfico de pod ni a otros recursos relacionados con el cluster.

Cuando actualiza los atributos de seguridad de un pool de nodos gestionado, los cambios se aplican solo a los nuevos nodos de trabajador. Los nodos de trabajador existentes y sus VNIC no se actualizan. Para aplicar los atributos de seguridad actualizados a las cargas de trabajo existentes, sustituya los nodos de trabajador en el pool de nodos (consulte Finalización y sustitución de nodos de trabajador). Tenga en cuenta que la sustitución de volumen de inicio no aplica los atributos de seguridad del pool de nodos actualizados. Se deben sustituir los nodos de trabajador.

  • Para agregar atributos de seguridad a las VNIC primarias de los nodos gestionados al crear un nuevo cluster con la consola, consulte Uso de la consola para crear un cluster con valores definidos explícitamente en el flujo de trabajo "Creación personalizada".

    Para agregar atributos de seguridad a las VNIC primarias de los nodos gestionados al crear un nuevo pool de nodos gestionados mediante la consola, consulte Creación de un pool de nodos gestionados.

    Para agregar o eliminar atributos de seguridad para las VNIC primarias de nodos gestionados en un pool de nodos gestionado existente mediante la consola:

    1. En la página de lista Clusters, seleccione el nombre del cluster que desea modificar. Si necesita ayuda para buscar la página de lista o el cluster, consulte Listing Clusters.
    2. Seleccione el separador Pools de nodos y, a continuación, seleccione el nombre del pool de nodos que desea modificar.

      El separador Seguridad muestra los atributos de seguridad que se han configurado para las VNIC primarias de los nodos gestionados en el pool de nodos, si los hay.

    3. Para agregar un atributo de seguridad para las VNIC primarias de los nodos gestionados:

      1. En el separador Seguridad, en la sección Atributos de seguridad de VNIC principal, seleccione Agregar y en el cuadro de diálogo Agregar atributos de seguridad:
        • Seleccione el espacio de nombres de atributo de seguridad que contiene el atributo de seguridad.
        • Seleccione el atributos de seguridad.
        • Introduzca el valor del atributo seguridad.
      2. Si desea agregar varios atributos de seguridad a la VNIC principal del pool de nodos, seleccione Agregar y seleccione atributos de seguridad adicionales (hasta un máximo de cinco).
      3. Seleccione Agregar Atributos de Seguridad.

    4. Para eliminar un atributo de seguridad de la VNIC principal del pool de nodos:

      1. En el separador Seguridad, en la sección Atributos de seguridad de VNIC principal, seleccione Suprimir en el menú Acciones (tres puntos) junto al atributo de seguridad que desea suprimir.
      2. Confirme que desea suprimir el atributo de seguridad.

    Los atributos de seguridad que se muestran en el separador Seguridad del pool de nodos ahora se aplican a las VNIC principales de los nuevos nodos de trabajador que se inician en el pool de nodos.

  • Utilice el comando oci ce node-pool create y los parámetros necesarios para agregar un pool de nodos gestionado:
    oci ce node-pool create --cluster-id <cluster-ocid> --compartment-id <compartment-ocid> --name <node-pool-name> --node-shape <shape>

    Utilice el comando oci ce node-pool update y los parámetros necesarios para actualizar un pool de nodos gestionado:

    oci ce node-pool update --node-pool-id <node-pool-ocid> [OPTIONS]

    Para obtener una lista completa de los indicadores y de las opciones de las variables para el comando de OCI CLI, consulte la Referencia de línea de comando.

  • Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

    Utilice estas operaciones de API para agregar o eliminar atributos de seguridad a la VNIC principal de un pool de nodos gestionado o desde ella:

Adición de atributos de seguridad a VNIC secundarias de nodos gestionados

Puede especificar atributos de seguridad ZPR para las VNIC secundarias de las instancias informáticas que realizan copias de seguridad de los nodos gestionados en un pool de nodos gestionados. Estos atributos de seguridad se especifican al crear un pool de nodos gestionado o al actualizar un pool de nodos gestionado existente. En clusters que utilizan el plugin CNI de red de pod nativo de VCN de OCI, las VNIC secundarias se utilizan para el tráfico de pod. Estos atributos de seguridad no se aplican a las VNIC primarias utilizadas para el tráfico de nivel de nodo ni a otros recursos relacionados con el cluster.

Tenga en cuenta que si define varias VNIC secundarias para un pool de nodos gestionado, debe especificar los mismos atributos de seguridad para todas las VNIC secundarias del pool de nodos.

Le recomendamos que planifique la colocación de la carga de trabajo antes de asignar atributos de seguridad a VNIC secundarias. Kubernetes Engine aplica atributos de seguridad de pod en el nivel del pool de nodos, por lo que las cargas de trabajo que requieren diferentes perfiles de seguridad se deben ejecutar en diferentes pools de nodos.

Cuando actualiza los atributos de seguridad de un pool de nodos gestionado, los cambios se aplican solo a los nuevos nodos de trabajador. Los nodos de trabajador existentes y sus VNIC no se actualizan. Para aplicar los atributos de seguridad actualizados a las cargas de trabajo existentes, sustituya los nodos de trabajador en el pool de nodos (consulte Finalización y sustitución de nodos de trabajador). Tenga en cuenta que la sustitución de volumen de inicio no aplica los atributos de seguridad del pool de nodos actualizados. Se deben sustituir los nodos de trabajador.

  • Para agregar atributos de seguridad a las VNIC secundarias de los nodos gestionados al crear un nuevo cluster con la consola, consulte Uso de la consola para crear un cluster con valores definidos explícitamente en el flujo de trabajo "Creación personalizada".

    Para agregar atributos de seguridad a las VNIC secundarias de los nodos gestionados al crear un nuevo pool de nodos gestionados mediante la consola, consulte Creación de un pool de nodos gestionados.

    Para agregar o eliminar atributos de seguridad para las VNIC secundarias de nodos gestionados en un pool de nodos gestionado existente mediante la consola:

    1. En la página de lista Clusters, seleccione el nombre del cluster que desea modificar. Si necesita ayuda para buscar la página de lista o el cluster, consulte Listing Clusters.
    2. Seleccione el separador Pools de nodos y, a continuación, seleccione el nombre del pool de nodos que desea modificar.

      El separador Seguridad muestra los atributos de seguridad que se han configurado para las VNIC secundarias de los nodos gestionados en el pool de nodos, si los hay.

    3. Para agregar un atributo de seguridad para las VNIC secundarias de los nodos gestionados:

      1. En el separador Seguridad, en la sección Atributos de seguridad de VNIC secundaria, seleccione Agregar y en el cuadro de diálogo Agregar atributos de seguridad:
        • Seleccione el espacio de nombres de atributo de seguridad que contiene el atributo de seguridad.
        • Seleccione el atributos de seguridad.
        • Introduzca el valor del atributo seguridad.
      2. Si desea agregar varios atributos de seguridad a la VNIC secundaria del pool de nodos, seleccione Agregar y seleccione atributos de seguridad adicionales (hasta un máximo de cinco).
      3. Seleccione Agregar Atributos de Seguridad.

    4. Para eliminar un atributo de seguridad de la VNIC secundaria del pool de nodos:

      1. En el separador Seguridad, en la sección Atributos de seguridad de VNIC secundaria, seleccione Suprimir en el menú Acciones (tres puntos) junto al atributo de seguridad que desea suprimir.
      2. Confirme que desea suprimir el atributo de seguridad.

    Los atributos de seguridad que se muestran en el separador Seguridad del pool de nodos ahora se aplican a las VNIC secundarias de los nuevos nodos de trabajador que se inician en el pool de nodos.

  • Utilice el comando oci ce node-pool create y los parámetros necesarios para agregar un pool de nodos gestionado:
    oci ce node-pool create --cluster-id <cluster-ocid> --compartment-id <compartment-ocid> --name <node-pool-name> --node-shape <shape>

    Utilice el comando oci ce node-pool update y los parámetros necesarios para actualizar un pool de nodos gestionado:

    oci ce node-pool update --node-pool-id <node-pool-ocid> [OPTIONS]

    Para obtener una lista completa de los indicadores y de las opciones de las variables para el comando de OCI CLI, consulte la Referencia de línea de comando.

  • Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

    Utilice estas operaciones de API para agregar o eliminar atributos de seguridad a o desde las VNIC secundarias de un pool de nodos gestionado:

Adición de atributos de seguridad a equilibradores de carga y equilibradores de carga de red aprovisionados para servicios de Kubernetes de tipo LoadBalancer

Puede utilizar la anotación oci.oraclecloud.com/security-attributes para especificar los atributos de seguridad de ZPR que Kubernetes Engine agrega a los equilibradores de carga y los equilibradores de carga de red que aprovisiona para servicios de tipo LoadBalancer. Para obtener más información, consulte Especificación de atributos de seguridad de ZPR para equilibradores de carga y equilibradores de carga de red.

Adición de atributos de seguridad a equilibradores de carga aprovisionados por el controlador de entrada nativo de OCI

Puede utilizar la anotación oci-native-ingress.oraclecloud.com/security-attributes en el manifiesto IngressClass para especificar los atributos de seguridad de ZPR que el controlador de entrada nativo de OCI agrega a los equilibradores de carga que aprovisiona. Para obtener más información, consulte Specifying ZPR Security Attributes.

Adición de atributos de seguridad a destinos de montaje del servicio de almacenamiento de archivos creados por el plugin de volumen CSI

Puede utilizar el parámetro securityAttributes en el manifiesto StorageClass para especificar los atributos de seguridad de ZPR que el plugin de volumen CSI agrega a los destinos de montaje del servicio File Storage que crea. Para obtener más información, consulte Aprovisionamiento de PVC en el servicio File Storage.