Documentazione dell'infrastruttura Oracle Cloud

Aggiunta di attributi di sicurezza alle risorse correlate al cluster e applicazione dei criteri ZPR

Scopri come aggiungere attributi di sicurezza ZPR alle risorse correlate al cluster e come applicare i criteri ZPR (Zero Trust Packet Routing) con Kubernetes Engine (OKE).

L'utilizzo di Zero Trust Packet Routing (ZPR) con Kubernetes Engine ti consente di implementare un controllo dell'accesso con filtro e con meno privilegi sulle interazioni tra le risorse correlate ai cluster e altre risorse OCI. ZPR è particolarmente utile negli ambienti in cui i dati sensibili o le operazioni critiche vengono distribuiti su più risorse OCI e è necessaria una rigorosa separazione e controllo dell'accesso alle risorse. L'uso di ZPR consente di mitigare i rischi associati all'accesso non autorizzato e di garantire che solo i flussi di traffico consentiti in modo esplicito tra risorse protette supportino sia le esigenze di conformità che i criteri di sicurezza dell'organizzazione.

È possibile utilizzare Zero Trust Packet Routing (ZPR) insieme ai gruppi di sicurezza di rete e alle liste di sicurezza per gestire l'accesso di rete alle risorse OCI. A tale scopo, definire i criteri ZPR che regolano la modalità di comunicazione tra le risorse e aggiungere gli attributi di sicurezza ZPR a tali risorse. Per ulteriori informazioni, vedere Instradamento dei pacchetti Zero Trust.

L'uso di ZPR è facoltativo. È possibile continuare a utilizzare OKE senza assegnare gli attributi di sicurezza ZPR. I controlli di sicurezza di rete esistenti, come i gruppi di sicurezza di rete, le liste di sicurezza e i criteri di rete Kubernetes, continuano a funzionare con OKE. ZPR aggiunge un altro livello di applicazione della rete per le risorse con attributi di sicurezza e criteri ZPR corrispondenti.

Attenzione

Se un endpoint dispone di un attributo di sicurezza ZPR (Zero Trust Packet Routing), il traffico verso l'endpoint deve soddisfare i criteri ZPR e tutte le regole del gruppo di sicurezza di rete e della lista di sicurezza. Ad esempio, se si stanno già utilizzando i gruppi NSG e si aggiunge un attributo di sicurezza a un endpoint senza creare anche un criterio ZPR che consenta il traffico richiesto, il traffico verso l'endpoint viene bloccato. Da quel momento in poi, un criterio ZPR deve consentire esplicitamente il traffico all'endpoint.

Quando si esegue la migrazione dei cluster esistenti per utilizzare ZPR, creare ed eseguire il test dei criteri ZPR richiesti prima di rimuovere le regole esistenti del gruppo di sicurezza di rete o dell'elenco di sicurezza. Per impostazione predefinita, le risorse con attributi di sicurezza ZPR non possono comunicare con risorse che non dispongono di attributi di sicurezza ZPR a meno che un criterio ZPR non consenta esplicitamente tale traffico.

Per utilizzare ZPR con Kubernetes Engine, è possibile aggiungere attributi di sicurezza alle risorse correlate al cluster supportate in una tenancy in cui ZPR è disponibile. Dopo aver aggiunto un attributo di sicurezza a una risorsa, la risorsa può accedere ad altre risorse OCI solo se l'accesso è consentito da un criterio ZPR.

Gli attributi di sicurezza sono definiti in uno spazio di nomi degli attributi di sicurezza. Per aggiungere un attributo di sicurezza a una risorsa correlata al cluster, un criterio IAM deve concedere al gruppo a cui si appartiene l'accesso allo spazio di nomi in cui viene definito l'attributo di sicurezza. Per ulteriori informazioni, vedere Criteri IAM obbligatori.

Per abilitare una risorsa correlata al cluster con attributi di sicurezza ZPR ad accedere a un'altra risorsa, è necessario che esista un criterio ZPR appropriato. Se gli attributi di sicurezza sono stati aggiunti anche all'altra risorsa, creare un criterio ZPR che consenta l'accesso agli endpoint con tali attributi di sicurezza. Se l'altra risorsa non dispone di attributi di sicurezza ZPR o non può avere attributi di sicurezza ZPR perché il tipo di risorsa non è supportato da ZPR, creare un criterio ZPR che consenta l'accesso utilizzando un indirizzo IP supportato, un blocco CIDR o un'espressione dell'endpoint del servizio. Senza un criterio ZPR appropriato, l'accesso viene bloccato a livello di rete e potrebbero verificarsi errori di connessione. Per ulteriori informazioni, vedere Criteri ZPR richiesti.

Notare i punti riportati di seguito:

  • Per visualizzare le risorse correlate al cluster a cui sono stati aggiunti gli attributi di sicurezza, utilizzare la pagina Console ZPR (vedere Elenco delle risorse protette nella documentazione di ZPR).
  • Dopo aver aggiunto gli attributi di sicurezza a una risorsa correlata al cluster, è possibile utilizzare strumenti quali Analyzer percorso di rete, se supportato, per facilitare il debug di eventuali problemi di connettività di rete.
  • Se un attributo di sicurezza viene eliminato dallo spazio di nomi degli attributi di sicurezza (utilizzando la console ZPR, l'interfaccia CLI o l'API) dopo essere stato aggiunto a una risorsa correlata al cluster, rimuovere l'attributo di sicurezza eliminato dalla risorsa. In caso contrario, i criteri ZPR che fanno riferimento all'attributo di sicurezza eliminato potrebbero non consentire più il traffico previsto.

Il modo in cui si aggiungono o rimuovono attributi di sicurezza a o da risorse correlate al cluster supportate dipende dalla risorsa, come mostrato nella tabella riportata di seguito.

Risorsa Dove applicare gli attributi di sicurezza Come applicare gli attributi di sicurezza Risultato
Endpoint API Kubernetes del cluster Console, CLI, API Impostare la proprietà Attributo di sicurezza endpoint del cluster (securityAttributes nell'API) Gli attributi di sicurezza si applicano solo all'endpoint API Kubernetes del cluster. Questi attributi non si applicano ai nodi di lavoro, ai pod, ai load balancer o ad altre risorse cluster. Vedere Aggiunta di attributi di sicurezza all'endpoint API Kubernetes di un cluster.
VNIC primarie delle istanze di computazione dei nodi gestiti Console, CLI, API Impostare la proprietà Attributo di sicurezza VNIC della VNIC primaria del pool di nodi (securityAttributes nell'API) Gli attributi di sicurezza si applicano alle VNIC primarie delle istanze di computazione che eseguono il backup dei nodi gestiti nel pool di nodi. Questi attributi vengono utilizzati per il traffico a livello di nodo, ad esempio il traffico kubelet, il traffico dell'agente Oracle Cloud e il traffico dai pod che utilizzano la rete host. Vedere Aggiunta di attributi di sicurezza alle VNIC primarie dei nodi gestiti.
VNIC secondarie delle istanze di computazione dei nodi gestiti Console, CLI, API Impostare la proprietà Attributo di sicurezza VNIC delle VNIC secondarie del pool di nodi (securityAttributes nell'API) Gli attributi di sicurezza si applicano alle VNIC secondarie delle istanze di computazione che eseguono il backup dei nodi gestiti nel pool di nodi. Se si definiscono più VNIC secondarie per un pool di nodi gestiti, tutte le VNIC secondarie nel pool di nodi devono utilizzare lo stesso set di attributi di sicurezza. Vedere Aggiunta di attributi di sicurezza a VNIC secondarie di nodi gestiti.
Traffico pod nodo autogestito Creazione istanza di computazione Specificare gli attributi di sicurezza ZPR per le VNIC secondarie durante la creazione dell'istanza di computazione. Non specificare gli attributi di sicurezza ZPR per le VNIC secondarie in una configurazione dell'istanza. Gli attributi di sicurezza si applicano alle VNIC secondarie utilizzate per il traffico pod. Vedere Utilizzo dei nodi autogestiti.
Servizi Kubernetes di tipo LoadBalancer Annotazione nel manifesto del servizio Aggiungere l'annotazione oci.oraclecloud.com/security-attributes al file manifesto del servizio. Kubernetes Engine esegue il provisioning dei load balancer e dei load balancer di rete con gli attributi di sicurezza. Vedere Aggiunta di attributi di sicurezza ai load balancer e ai load balancer di rete con provisioning eseguito per i servizi Kubernetes di tipo LoadBalancer.
Load balancer controller in entrata nativi Annotazione nel file manifesto IngressClass Aggiungere l'annotazione oci-native-ingress.oraclecloud.com/security-attributes al manifesto. Il controller di entrata nativo OCI esegue il provisioning dei load balancer con gli attributi di sicurezza specificati. Vedere Aggiunta di attributi di sicurezza ai load balancer di cui è stato eseguito il provisioning da OCI Native Ingress Controller.
Destinazione di accesso allo storage di file creata dal plugin del volume CSI Parametro nel file manifesto StorageClass Aggiungere il parametro securityAttributes al file manifesto. Il plugin del volume CSI crea la destinazione di accesso con gli attributi di sicurezza specificati. Vedere Aggiunta di attributi di sicurezza alle destinazioni di accesso del servizio di storage di file create dal plugin volume CSI.

Tenere presente che gli attributi di sicurezza ZPR non vengono ereditati da tutte le risorse di un cluster. Gli attributi di sicurezza vengono assegnati separatamente per ogni tipo di risorsa supportato. Gli attributi di sicurezza degli endpoint del cluster si applicano solo all'endpoint API Kubernetes. Gli attributi di sicurezza del pool di nodi si applicano alle VNIC del nodo e del pod per i nodi in tale pool di nodi. I load balancer, i load balancer in entrata nativi e le destinazioni di accesso allo storage di file richiedono la propria configurazione degli attributi di sicurezza.

Prerequisiti e limitazioni

Prima di utilizzare Zero Trust Packet Routing (ZPR) con Kubernetes Engine, esaminare i prerequisiti e le limitazioni riportati di seguito.

  • Gli attributi di sicurezza ZPR sono supportati con pool di nodi gestiti e nodi autogestiti, ma non con pool di nodi virtuali.
  • Gli attributi di sicurezza ZPR sono supportati durante la creazione dei cluster e durante l'aggiornamento dei cluster esistenti, a condizione che l'endpoint API Kubernetes del cluster sia integrato nella propria VCN (noto come "cluster nativo VCN"). Non puoi utilizzare gli attributi di sicurezza ZPR con cluster i cui endpoint API Kubernetes non sono integrati nella tua VCN. Vedere Migrazione a cluster VCN nativi.
  • Il cluster Kubernetes deve utilizzare il plugin CNI di pod networking VCN nativo OCI per il pod networking. Gli attributi di sicurezza ZPR non sono supportati con i cluster che utilizzano il plugin CNI flanella. Inoltre, la versione del plugin CNI per la rete pod nativa VCN OCI deve supportare gli attributi di sicurezza ZPR. Se la versione del componente aggiuntivo non supporta gli attributi di sicurezza ZPR, Kubernetes Engine impedisce di utilizzare ZPR o non riesce l'avvio del nodo prima della creazione dell'istanza di computazione.
  • Il cluster Kubernetes deve eseguire Kubernetes versione 1.32 o successiva.
  • Gli spazi di nomi degli attributi di sicurezza appropriati, contenenti gli attributi di sicurezza ZPR che si desidera assegnare alle risorse OKE, devono esistere già. Gli spazi di nomi e gli attributi di sicurezza degli attributi di sicurezza vengono creati e gestiti nel servizio ZPR (Zero Trust Packet Routing). Vedere Creazione di uno spazio di nomi degli attributi di sicurezza e Creazione di un attributo di sicurezza.
  • Devono esistere già criteri ZPR appropriati che consentono il traffico richiesto. L'assegnazione degli stessi attributi di sicurezza a due risorse non consente automaticamente la comunicazione. È necessario creare criteri ZPR che consentano i percorsi di comunicazione richiesti. I criteri ZPR vengono creati e gestiti nel servizio ZPR (Zero Trust Packet Routing) (vedere Creazione di un criterio ZPR).
  • Devono esistere autorizzazioni IAM appropriate per utilizzare gli spazi di nomi degli attributi di sicurezza ZPR richiesti. OCI IAM applica l'accesso agli attributi di sicurezza per le risorse correlate al cluster, come gli endpoint API Kubernetes, le VNIC dei nodi e i load balancer. Per ulteriori informazioni, vedere Criteri IAM obbligatori.

  • Se assegni attributi di sicurezza a load balancer, load balancer di rete o VNIC pod, i criteri IAM necessari devono consentire anche ai componenti di Kubernetes Engine che eseguono il provisioning di tali risorse di collegare gli attributi di sicurezza specificati. Ad esempio, il Cloud Controller Manager e il controller di entrata nativo OCI richiedono un criterio IAM appropriato per allegare gli attributi di sicurezza richiesti alle risorse create, ad esempio:

    Allow any-user to use security-attribute-namespace in tenancy where request.principal.type = 'cluster'

    Per ulteriori informazioni, vedere Criteri IAM obbligatori.

  • ZPR non sostituisce i criteri di rete Kubernetes e non applica il traffico tra i pod sullo stesso nodo di lavoro. Per controllare il traffico pod-to-pod all'interno di un cluster, incluso il traffico tra pod sullo stesso nodo di lavoro, utilizza i criteri di rete Kubernetes.
  • Gli attributi di sicurezza ZPR sono supportati durante il provisioning delle richieste di volumi persistenti con i file system del servizio di storage di file, ma non con i volumi a blocchi del servizio Volume a blocchi.

Criteri IAM necessari

Criterio IAM necessario per aggiungere attributi di sicurezza alle risorse correlate al cluster

Prima di poter aggiungere un attributo di sicurezza a una risorsa correlata al cluster, un criterio IAM deve concedere al gruppo a cui si appartiene l'autorizzazione per utilizzare lo spazio di nomi degli attributi di sicurezza contenente l'attributo di sicurezza. Ad esempio, utilizzando la seguente sintassi:

Allow group <group-name> to use security-attribute-namespaces in tenancy

Se si utilizza l'istruzione criterio Allow group <group-name> to use security-attribute-namespaces in tenancy per concedere agli utenti l'accesso agli spazi di nomi degli attributi di sicurezza, tenere presente che questa istruzione criterio consente al gruppo di utilizzare tutti gli spazi di nomi degli attributi di sicurezza nella tenancy. Se si ritiene che questo sia troppo permissivo, è possibile limitare gli spazi di nomi degli attributi di sicurezza a cui il gruppo ha accesso includendo una clausola where nell'istruzione. Ad esempio:

Allow group <group-name> to use security-attribute-namespaces in tenancy where target.security-attribute-namespace.name = 'oke-san'

Tenere presente che se si include una clausola where, è necessario includere anche una seconda istruzione nel criterio per consentire al gruppo di ispezionare tutti gli spazi di nomi degli attributi di sicurezza nella tenancy (quando si utilizza la console). Ad esempio:

Allow group <group-name> to inspect security-attribute-namespaces in tenancy

Quando gli attributi di sicurezza sono stati aggiunti a una risorsa correlata al cluster, la risorsa può accedere ad altre risorse OCI solo se l'accesso è consentito da un criterio ZPR.

Tenere presente che se non esiste un criterio IAM appropriato per utilizzare lo spazio di nomi degli attributi di sicurezza, non è possibile aggiungere l'attributo di sicurezza a una risorsa correlata al cluster. L'attributo di sicurezza non viene visualizzato nella console e tenta di aggiungere l'attributo di sicurezza utilizzando l'interfaccia CLI OCI o l'API non riesce.

Criteri IAM necessari per consentire ai cluster e ai pool di nodi di accedere agli spazi di nomi degli attributi di sicurezza

Quando si aggiungono attributi di sicurezza a una risorsa cluster o a una risorsa pool di nodi, un criterio IAM appropriato deve concedere al cluster o al pool di nodi l'accesso agli spazi di nomi degli attributi di sicurezza necessari. Ad esempio:

Allow any-user to use security-attribute-namespace in compartment <compartment_name> where request.principal.type = 'cluster'
Allow any-user to manage security-attribute-namespace in compartment <compartment_name> where request.principal.type = 'nodepool'

Criteri ZPR obbligatori

Criteri ZPR necessari per consentire alle risorse correlate al cluster di accedere ad altre risorse

Quando si aggiunge un attributo di sicurezza a una risorsa correlata al cluster, la risorsa può accedere ad altre risorse solo se un criterio ZPR concede l'accesso a tali risorse.

Se non esiste già un criterio ZPR appropriato, è necessario crearne uno. Ad esempio, utilizzando la seguente sintassi:

in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to <destination-security-attribute> endpoints

dove:

  • <vcn-security-attribute> è un attributo (e un valore) di sicurezza aggiunto alla VCN in cui risiede la subnet della risorsa. Ad esempio, VCN-Network:myVCN.
  • <application-security-attribute> è l'attributo (e il valore) di sicurezza aggiunto alla risorsa correlata al cluster. Ad esempio, oke-cluster:myclusterA
  • <destination-security-attribute> è un attributo di sicurezza (e un valore) che è stato aggiunto alla risorsa a cui si desidera che la risorsa correlata al cluster acceda. Ad esempio, DB-Server:App1

Ad esempio:

in VCN-Network:myVCN VCN allow oke-cluster:myclusterA endpoints to connect to DB-Server:App1 endpoints

Per ulteriori informazioni sui criteri, la sintassi e alcuni esempi di ZPR, vedere Zero Trust Packet Routing Policy nella documentazione su ZPR.

Criteri ZPR richiesti quando gli attributi di sicurezza vengono aggiunti alle VNIC primarie dei nodi gestiti

Quando si specificano gli attributi di sicurezza ZPR per le VNIC primarie delle istanze di computazione che eseguono il backup dei nodi gestiti in un pool di nodi gestiti, sono necessari i criteri ZPR aggiuntivi riportati di seguito per consentire ai nodi gestiti di aderire al cluster.

in zpr-cni.sensitivity:42 VCN allow zpr-cni.sensitivity:42 endpoints to connect to 'all-endpoints'
in zpr-cni.sensitivity:42 VCN allow all-endpoints to connect to zpr-cni.sensitivity:42 endpoints with protocol = 'tcp/443'

in zpr-cni.sensitivity:42 VCN allow zpr-cni.sensitivity:42 endpoints to connect to 'osn-services-ip-addresses'

Aggiunta di attributi di sicurezza all'endpoint API Kubernetes di un cluster

È possibile aggiungere attributi di sicurezza ZPR all'endpoint API Kubernetes quando si crea un cluster o aggiornando un cluster esistente. Gli attributi di sicurezza degli endpoint del cluster si applicano solo all'endpoint API Kubernetes. Questi attributi di sicurezza non si applicano ai nodi di lavoro, ai pod, ai load balancer o ad altre risorse correlate ai cluster.

Prima di aggiungere attributi di sicurezza all'endpoint API Kubernetes, assicurarsi che un criterio ZPR consenta ai client autorizzati di accedere all'endpoint. Ad esempio, creare un criterio ZPR che consenta l'accesso dai client che utilizzano kubectl.

  • Per aggiungere attributi di sicurezza all'endpoint API Kubernetes di un nuovo cluster durante la creazione del cluster mediante la console, vedere Uso della console per creare un cluster con impostazioni definite esplicitamente nel workflow 'Creazione personalizzata'.

    Per aggiungere o rimuovere gli attributi di sicurezza da o verso l'endpoint API Kubernetes di un cluster esistente utilizzando la console, effettuare le operazioni riportate di seguito.

    1. Nella pagina della lista Cluster selezionare il cluster con l'endpoint API Kubernetes a cui si desidera aggiungere o rimuovere gli attributi di sicurezza da o verso. Se è necessaria assistenza per trovare la pagina della lista o il cluster, vedere Elenca cluster.

      La scheda Sicurezza mostra gli attributi di sicurezza già aggiunti all'endpoint API Kubernetes del cluster (se presente).

    2. Per aggiungere un attributo di sicurezza all'endpoint API Kubernetes del cluster, procedere come segue.

      1. Nella scheda Sicurezza, selezionare Aggiungi e nella finestra di dialogo Aggiungi attributi di sicurezza:
        • Selezionare lo spazio di nomi degli attributi di sicurezza contenente l'attributo di sicurezza.
        • Selezionare l'attributo di sicurezza.
        • Immettere il valore dell'attributo di sicurezza.
      2. Se si desidera aggiungere più attributi di sicurezza all'endpoint API Kubernetes del cluster, selezionare Aggiungi e selezionare ulteriori attributi di sicurezza (fino a un massimo di cinque).
      3. Selezionare Aggiungi attributi di protezione.

    3. Per rimuovere un attributo di sicurezza dall'endpoint API Kubernetes del cluster, procedere come segue.

      1. Nella scheda Sicurezza selezionare Elimina dal menu Azioni (tre punti) accanto all'attributo di sicurezza che si desidera eliminare.
      2. Confermare che si desidera eliminare l'attributo di sicurezza.

    Gli attributi di sicurezza mostrati nella scheda Sicurezza del cluster ora si applicano all'endpoint API Kubernetes del cluster.

  • Utilizzare il comando oci ce cluster create e i parametri necessari per creare un cluster:

    oci ce cluster create --compartment-id <compartment-ocid> --kubernetes-version <kubernetes-version> --name <cluster-name> --vcn-id <vcn-ocid> [OPTIONS]

    Utilizzare il comando oci ce cluster update e i parametri necessari per aggiornare un cluster:

    oci ce cluster update --cluster-id <cluster-ocid> [OPTIONS]

    Per un elenco completo dei flag e delle opzioni delle variabili per i comandi CLI OCI, consultare il riferimento per la riga di comando.

  • Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

    Utilizzare queste operazioni API per aggiungere o rimuovere attributi di sicurezza all'endpoint API Kubernetes di un cluster o da esso:

Aggiunta di attributi di sicurezza alle VNIC primarie dei nodi gestiti

Puoi specificare gli attributi di sicurezza ZPR per le VNIC primarie delle istanze di computazione che eseguono il backup dei nodi gestiti in un pool di nodi gestiti. È possibile specificare questi attributi di sicurezza durante la creazione di un pool di nodi gestiti o aggiornando un pool di nodi gestiti esistente. Gli attributi di sicurezza della VNIC primaria si applicano alle nuove istanze di computazione che iniziano nel pool di nodi. Questi attributi di sicurezza vengono utilizzati per il traffico a livello di nodo, ad esempio il traffico kubelet, il traffico dell'agente Oracle Cloud e il traffico dai pod che utilizzano la rete host. Questi attributi di sicurezza non si applicano alle VNIC secondarie utilizzate per il traffico pod o ad altre risorse correlate al cluster.

Quando si aggiornano gli attributi di sicurezza per un pool di nodi gestiti, le modifiche vengono applicate solo ai nuovi nodi di lavoro. I nodi di lavoro esistenti e le relative VNIC non vengono aggiornati. Per applicare gli attributi di sicurezza aggiornati ai carichi di lavoro esistenti, sostituire i nodi di lavoro nel pool di nodi (vedere Terminazione e sostituzione dei nodi di lavoro). Tenere presente che la sostituzione del volume di avvio non applica gli attributi di sicurezza aggiornati del pool di nodi. I nodi di lavoro devono essere sostituiti.

  • Per aggiungere attributi di sicurezza alle VNIC primarie dei nodi gestiti durante la creazione di un nuovo cluster utilizzando la console, vedere Uso della console per creare un cluster con impostazioni definite esplicitamente nel workflow 'Creazione personalizzata'.

    Per aggiungere attributi di sicurezza alle VNIC primarie dei nodi gestiti durante la creazione di un nuovo pool di nodi gestiti mediante la console, vedere Creazione di un pool di nodi gestiti.

    Per aggiungere o rimuovere gli attributi di sicurezza per le VNIC primarie dei nodi gestiti in un pool di nodi gestiti esistente utilizzando la console, effettuare le operazioni riportate di seguito.

    1. Nella pagina della lista Cluster selezionare il nome del cluster che si desidera modificare. Se è necessaria assistenza per trovare la pagina della lista o il cluster, vedere Elenca cluster.
    2. Selezionare la scheda Pool di nodi, quindi selezionare il nome del pool di nodi che si desidera modificare.

      La scheda Sicurezza mostra gli attributi di sicurezza configurati per le VNIC principali dei nodi gestiti nel pool di nodi, se presenti.

    3. Per aggiungere un attributo di sicurezza per le VNIC primarie dei nodi gestiti:

      1. Nella scheda Sicurezza, nella sezione Attributi di sicurezza della VNIC primaria, selezionare Aggiungi e nella finestra di dialogo Aggiungi attributi di sicurezza:
        • Selezionare lo spazio di nomi degli attributi di sicurezza contenente l'attributo di sicurezza.
        • Selezionare l'attributo di sicurezza.
        • Immettere il valore dell'attributo di sicurezza.
      2. Se si desidera aggiungere più attributi di sicurezza alla VNIC primaria del pool di nodi, selezionare Aggiungi e selezionare ulteriori attributi di sicurezza (fino a un massimo di cinque).
      3. Selezionare Aggiungi attributi di protezione.

    4. Per rimuovere un attributo di sicurezza dalla VNIC primaria del pool di nodi:

      1. Nella scheda Sicurezza, nella sezione Attributi di sicurezza della VNIC primaria, selezionare Elimina dal menu Azioni (tre punti) accanto all'attributo di sicurezza che si desidera eliminare.
      2. Confermare che si desidera eliminare l'attributo di sicurezza.

    Gli attributi di sicurezza visualizzati nella scheda Sicurezza del pool di nodi ora si applicano alle VNIC primarie dei nuovi nodi di lavoro che iniziano nel pool di nodi.

  • Utilizzare il comando oci ce node-pool create e i parametri richiesti per aggiungere un pool di nodi gestiti:
    oci ce node-pool create --cluster-id <cluster-ocid> --compartment-id <compartment-ocid> --name <node-pool-name> --node-shape <shape>

    Utilizzare il comando oci ce node-pool update e i parametri necessari per aggiornare un pool di nodi gestiti.

    oci ce node-pool update --node-pool-id <node-pool-ocid> [OPTIONS]

    Per un elenco completo dei flag e delle opzioni delle variabili per i comandi CLI OCI, consultare il riferimento per la riga di comando.

  • Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

    Utilizzare le operazioni API riportate di seguito per aggiungere o rimuovere gli attributi di sicurezza dalla VNIC primaria di un pool di nodi gestiti.

Aggiunta di attributi di sicurezza alle VNIC secondarie dei nodi gestiti

È possibile specificare gli attributi di sicurezza ZPR per le VNIC secondarie delle istanze di computazione che eseguono il backup dei nodi gestiti in un pool di nodi gestiti. È possibile specificare questi attributi di sicurezza durante la creazione di un pool di nodi gestiti o aggiornando un pool di nodi gestiti esistente. Nei cluster che utilizzano il plugin CNI per la rete pod nativa VCN OCI, le VNIC secondarie vengono utilizzate per il traffico pod. Questi attributi di sicurezza non si applicano alle VNIC primarie utilizzate per il traffico a livello di nodo o ad altre risorse correlate al cluster.

Tenere presente che se si definiscono più VNIC secondarie per un pool di nodi gestiti, è necessario specificare gli stessi attributi di sicurezza per tutte le VNIC secondarie nel pool di nodi.

Si consiglia di pianificare il posizionamento del carico di lavoro prima di assegnare gli attributi di sicurezza alle VNIC secondarie. Kubernetes Engine applica attributi di sicurezza pod a livello di pool di nodi, in modo che i carichi di lavoro che richiedono profili di sicurezza diversi debbano essere eseguiti in pool di nodi diversi.

Quando si aggiornano gli attributi di sicurezza per un pool di nodi gestiti, le modifiche vengono applicate solo ai nuovi nodi di lavoro. I nodi di lavoro esistenti e le relative VNIC non vengono aggiornati. Per applicare gli attributi di sicurezza aggiornati ai carichi di lavoro esistenti, sostituire i nodi di lavoro nel pool di nodi (vedere Terminazione e sostituzione dei nodi di lavoro). Tenere presente che la sostituzione del volume di avvio non applica gli attributi di sicurezza aggiornati del pool di nodi. I nodi di lavoro devono essere sostituiti.

  • Per aggiungere attributi di sicurezza alle VNIC secondarie dei nodi gestiti durante la creazione di un nuovo cluster mediante la console, vedere Uso della console per creare un cluster con impostazioni definite esplicitamente nel workflow 'Creazione personalizzata'.

    Per aggiungere attributi di sicurezza alle VNIC secondarie dei nodi gestiti durante la creazione di un nuovo pool di nodi gestiti mediante la console, vedere Creazione di un pool di nodi gestiti.

    Per aggiungere o rimuovere gli attributi di sicurezza per le VNIC secondarie dei nodi gestiti in un pool di nodi gestiti esistente utilizzando la console, effettuare le operazioni riportate di seguito.

    1. Nella pagina della lista Cluster selezionare il nome del cluster che si desidera modificare. Se è necessaria assistenza per trovare la pagina della lista o il cluster, vedere Elenca cluster.
    2. Selezionare la scheda Pool di nodi, quindi selezionare il nome del pool di nodi che si desidera modificare.

      La scheda Sicurezza mostra gli attributi di sicurezza configurati per le VNIC secondarie dei nodi gestiti nel pool di nodi, se presenti.

    3. Per aggiungere un attributo di sicurezza per le VNIC secondarie dei nodi gestiti, procedere come segue.

      1. Nella scheda Sicurezza, nella sezione Attributi di sicurezza della VNIC secondaria, selezionare Aggiungi e nella finestra di dialogo Aggiungi attributi di sicurezza:
        • Selezionare lo spazio di nomi degli attributi di sicurezza contenente l'attributo di sicurezza.
        • Selezionare l'attributo di sicurezza.
        • Immettere il valore dell'attributo di sicurezza.
      2. Se si desidera aggiungere più attributi di sicurezza alla VNIC secondaria del pool di nodi, selezionare Aggiungi e selezionare ulteriori attributi di sicurezza (fino a un massimo di cinque).
      3. Selezionare Aggiungi attributi di protezione.

    4. Per rimuovere un attributo di sicurezza dalla VNIC secondaria del pool di nodi:

      1. Nella scheda Sicurezza, nella sezione Attributi di sicurezza della VNIC secondaria, selezionare Elimina dal menu Azioni (tre punti) accanto all'attributo di sicurezza che si desidera eliminare.
      2. Confermare che si desidera eliminare l'attributo di sicurezza.

    Gli attributi di sicurezza visualizzati nella scheda Sicurezza del pool di nodi ora si applicano alle VNIC secondarie dei nuovi nodi di lavoro che iniziano nel pool di nodi.

  • Utilizzare il comando oci ce node-pool create e i parametri richiesti per aggiungere un pool di nodi gestiti:
    oci ce node-pool create --cluster-id <cluster-ocid> --compartment-id <compartment-ocid> --name <node-pool-name> --node-shape <shape>

    Utilizzare il comando oci ce node-pool update e i parametri necessari per aggiornare un pool di nodi gestiti.

    oci ce node-pool update --node-pool-id <node-pool-ocid> [OPTIONS]

    Per un elenco completo dei flag e delle opzioni delle variabili per i comandi CLI OCI, consultare il riferimento per la riga di comando.

  • Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

    Utilizzare le operazioni API riportate di seguito per aggiungere o rimuovere gli attributi di sicurezza da o verso le VNIC secondarie di un pool di nodi gestiti.

Aggiunta di attributi di sicurezza ai load balancer e ai load balancer di rete di cui è stato eseguito il provisioning per i servizi Kubernetes di tipo LoadBalancer

È possibile utilizzare l'annotazione oci.oraclecloud.com/security-attributes per specificare gli attributi di sicurezza ZPR aggiunti da Kubernetes Engine ai load balancer e ai load balancer di rete di cui esegue il provisioning per i servizi di tipo LoadBalancer. Per ulteriori informazioni, vedere Specifica degli attributi di sicurezza ZPR per i load balancer e i load balancer di rete.

Aggiunta di attributi di sicurezza ai load balancer di cui è stato eseguito il provisioning dal controller di entrata nativo OCI

È possibile utilizzare l'annotazione oci-native-ingress.oraclecloud.com/security-attributes nel file manifesto IngressClass per specificare gli attributi di sicurezza ZPR aggiunti dal controller di entrata nativo OCI ai load balancer di cui esegue il provisioning. Per ulteriori informazioni, vedere Specifica degli attributi di sicurezza ZPR.

Aggiunta di attributi di sicurezza alle destinazioni di accesso del servizio di storage di file create dal plugin volume CSI

È possibile utilizzare il parametro securityAttributes nel file manifesto StorageClass per specificare gli attributi di sicurezza ZPR aggiunti dal plugin del volume CSI alle destinazioni di accesso del servizio di storage di file create. Per ulteriori informazioni, vedere Provisioning dei PVC nel servizio di storage di file.