Documentação do Oracle Cloud Infrastructure

Adicionando Atributos de Segurança a Recursos Relacionados a Clusters e Aplicando Políticas de ZPR

Descubra como adicionar atributos de segurança ZPR a recursos relacionados ao cluster e como aplicar políticas ZPR (Zero Trust Packet Routing) com o Kubernetes Engine (OKE).

O uso do Zero Trust Packet Routing (ZPR) com o Kubernetes Engine permite que você implemente um controle de acesso refinado e com menos privilégios sobre as interações entre recursos relacionados ao cluster e outros recursos da OCI. O ZPR é especialmente útil em ambientes em que dados confidenciais ou operações críticas são distribuídos em vários recursos da OCI, e é necessária a separação e o controle rigorosos do acesso a recursos. O uso do ZPR ajuda a mitigar os riscos associados ao acesso não autorizado e garante que apenas o tráfego permitido explicitamente flua entre recursos protegidos, oferecendo suporte às necessidades de conformidade e às políticas de segurança organizacional.

Você pode usar o ZPR (Zero Trust Packet Routing) com grupos de segurança de rede e listas de segurança para gerenciar o acesso à rede para recursos do OCI. Para fazer isso, defina políticas de ZPR que controlam como os recursos se comunicam entre si e, em seguida, adicione atributos de segurança de ZPR a esses recursos. Para obter mais informações, consulte Roteamento de Pacotes de Confiança Zero.

O uso de ZPR é opcional. Você pode continuar a usar o OKE sem designar atributos de segurança ZPR. Os controles de segurança de rede existentes, como grupos de segurança de rede, listas de segurança e políticas de rede do Kubernetes, continuam a trabalhar com o OKE. O ZPR adiciona outra camada de aplicação de rede para recursos que têm atributos de segurança e políticas de ZPR correspondentes.

Cuidado

Se um ponto final tiver um atributo de segurança ZPR (Zero Trust Packet Routing), o tráfego para o ponto final deverá atender às políticas de ZPR e também a todas as regras de grupo de segurança de rede e de lista de segurança. Por exemplo, se você já estiver usando NSGs e adicionar um atributo de segurança a um ponto final sem também criar uma política de ZPR que permita o tráfego necessário, o tráfego para o ponto final será bloqueado. A partir de então, uma política de ZPR deve permitir explicitamente o tráfego para o ponto final.

Ao migrar clusters existentes para usar o ZPR, crie e teste as políticas de ZPR necessárias antes de remover o grupo de segurança de rede existente ou as regras da lista de segurança. Por padrão, os recursos com atributos de segurança ZPR não podem se comunicar com recursos que não têm atributos de segurança ZPR, a menos que uma política ZPR permita explicitamente esse tráfego.

Para usar o ZPR com o Kubernetes Engine, adicione atributos de segurança a recursos relacionados ao cluster suportados em uma tenancy em que o ZPR esteja disponível. Após adicionar um atributo de segurança a um recurso, o recurso só poderá acessar outros recursos do OCI se o acesso for permitido por uma política de ZPR.

Os atributos de segurança são definidos em um namespace de atributo de segurança. Para adicionar um atributo de segurança a um recurso relacionado ao cluster, uma política do serviço IAM deve conceder ao grupo ao qual você pertence acesso ao namespace no qual o atributo de segurança está definido. Para obter mais informações, consulte Políticas do IAM Obrigatórias.

Para permitir que um recurso relacionado a cluster com atributos de segurança ZPR acesse outro recurso, uma política ZPR adequada deve existir. Se os atributos de segurança também tiverem sido adicionados ao outro recurso, crie uma política ZPR que permita o acesso a pontos finais com esses atributos de segurança. Se o outro recurso não tiver atributos de segurança ZPR ou não puder ter atributos de segurança ZPR porque o tipo de recurso não é suportado pelo ZPR, crie uma política ZPR que permita acesso usando um endereço IP, um bloco CIDR ou uma expressão de ponto final de serviço suportada. Sem uma política de ZPR adequada, o acesso é bloqueado no nível da rede e podem ocorrer erros de conexão. Para obter mais informações, consulte Políticas de ZPR obrigatórias.

Observe os pontos a seguir:

  • Para ver os recursos relacionados ao cluster aos quais os atributos de segurança foram adicionados, use a página Console do ZPR (consulte Listando Recursos Protegidos na documentação do ZPR).
  • Após adicionar atributos de segurança a um recurso relacionado ao cluster, você pode usar ferramentas como o Network Path Analyzer, onde houver suporte, para ajudar a depurar quaisquer problemas de conectividade de rede.
  • Se um atributo de segurança for excluído do namespace do atributo de segurança (usando a Console do ZPR, a CLI ou a API) após ele ter sido adicionado a um recurso relacionado ao cluster, remova o atributo de segurança excluído do recurso. Caso contrário, as políticas ZPR que fazem referência ao atributo de segurança excluído poderão não permitir mais o tráfego esperado.

A maneira como você adiciona ou remove atributos de segurança de ou para recursos relacionados ao cluster suportados depende do recurso, conforme mostrado na tabela a seguir:

Recurso Onde aplicar atributos de segurança Como aplicar atributos de segurança Resultado
Ponto final da API do Kubernetes do Cluster Console, CLI, API Defina a propriedade Atributo de segurança do ponto final do cluster (securityAttributes na API) Os atributos de segurança só se aplicam ao ponto final da API do Kubernetes do cluster. Esses atributos não se aplicam a nós de trabalho, pods, balanceadores de carga ou outros recursos de cluster. Consulte Adicionando Atributos de Segurança ao Ponto Final da API do Kubernetes de um Cluster.
VNICs principais de instâncias de computação de nó gerenciado Console, CLI, API Defina a propriedade Atributo de Segurança de VNIC da VNIC principal do pool de nós (securityAttributes na API) Os atributos de segurança se aplicam às VNICs principais das instâncias de computação que fazem backup dos nós gerenciados no pool de nós. Esses atributos são usados para tráfego no nível do nó, como tráfego kubelet, tráfego do Oracle Cloud Agent e tráfego de pods que usam a rede do host. Consulte Adicionando Atributos de Segurança a VNICs Principais de Nós Gerenciados.
VNICs secundárias de instâncias de computação de nó gerenciadas Console, CLI, API Defina a propriedade Atributo de Segurança de VNIC das VNICs secundárias do pool de nós (securityAttributes na API) Os atributos de segurança se aplicam às VNICs secundárias das instâncias de computação que fazem backup dos nós gerenciados no pool de nós. Se você definir várias VNICs secundárias para um pool de nós gerenciados, todas as VNICs secundárias no pool de nós deverão usar o mesmo conjunto de atributos de segurança. Consulte Adicionando Atributos de Segurança a VNICs Secundárias de Nós Gerenciados.
Tráfego de pod de nó autogerenciado Criação da instância de computação Especifique atributos de segurança ZPR para as VNICs secundárias ao criar a instância de computação. Não especifique atributos de segurança ZPR para VNICs secundárias em uma configuração de instância. Os atributos de segurança se aplicam às VNICs secundárias usadas para tráfego de pods. Consulte Como Trabalhar com nós autogerenciados.
Serviços do Kubernetes do tipo LoadBalancer Anotação no manifesto de serviço Adicione a anotação oci.oraclecloud.com/security-attributes ao manifesto de serviço. O Kubernetes Engine provisiona balanceadores de carga e balanceadores de carga de rede com os atributos de segurança. Consulte Adicionando Atributos de Segurança a Balanceadores de Carga e Balanceadores de Carga de Rede Provisionados para Serviços Kubernetes do Tipo LoadBalancer.
Balanceadores de carga nativos do controlador de entrada Anotação no manifesto IngressClass Adicione a anotação oci-native-ingress.oraclecloud.com/security-attributes ao manifesto. O controlador de entrada nativo do OCI provisiona balanceadores de carga com os atributos de segurança especificados. Consulte Adicionando Atributos de Segurança a Balanceadores de Carga Provisionados pelo Controlador de Entrada Nativo do OCI.
Ponto de acesso NFS do serviço File Storage criado pelo plug-in de volume CSI Parâmetro no manifesto StorageClass Adicione o parâmetro securityAttributes ao manifesto. O plug-in de volume CSI cria o ponto de acesso NFS com os atributos de segurança especificados. Consulte Adicionando Atributos de Segurança a Pontos de Acesso NFS do File Storage Service Criados pelo Plug-in de Volume CSI.

Observe que os atributos de segurança ZPR não são herdados por todos os recursos de um cluster. Você designa atributos de segurança separadamente para cada tipo de recurso suportado. Os atributos de segurança do ponto final do cluster só se aplicam ao ponto final da API do Kubernetes. Os atributos de segurança do pool de nós se aplicam às VNICs de nó e pod para nós nesse pool de nós. Os balanceadores de carga, os balanceadores de carga de entrada nativos e os pontos de acesso NFS do serviço File Storage exigem sua própria configuração de atributo de segurança.

Pré-requisitos e Limitações

Antes de usar o Zero Trust Packet Routing (ZPR) com o Kubernetes Engine, revise os seguintes pré-requisitos e limitações:

  • Os atributos de segurança ZPR são suportados com pools de nós gerenciados e nós autogerenciados, mas não com pools de nós virtuais.
  • Há suporte para atributos de segurança ZPR ao criar clusters e ao atualizar clusters existentes, desde que o ponto final da API do Kubernetes do cluster seja integrado à sua própria VCN (conhecido como "cluster nativo da VCN"). Você não pode usar atributos de segurança ZPR com clusters cujos pontos finais da API do Kubernetes não estejam integrados à sua própria VCN. Consulte Migrando para Clusters VCN-Native.
  • O cluster do Kubernetes deve usar o plug-in CNI de Rede do Pod Nativo da VCN do OCI para rede de pods. Não há suporte para atributos de segurança ZPR com clusters que usam o plug-in CNI flannel. Além disso, a versão do plug-in CNI de Rede de Pod Nativa da VCN do OCI deve suportar atributos de segurança ZPR. Se a versão do complemento não suportar atributos de segurança ZPR, o Kubernetes Engine impedirá que você use o ZPR ou falhará na inicialização do nó antes da criação da instância de computação.
  • O cluster do Kubernetes deve estar executando o Kubernetes versão 1.32 ou posterior.
  • Os namespaces de atributo de segurança apropriados, que contêm os atributos de segurança ZPR que você deseja designar aos recursos do OKE, já devem existir. Você cria e gerencia namespaces de atributos de segurança e atributos de segurança no serviço Zero Trust Packet Routing (ZPR). Consulte Criando um Namespace de Atributo de Segurança e Criando um Atributo de Segurança.
  • Políticas ZPR apropriadas que permitem o tráfego necessário já devem existir. A atribuição dos mesmos atributos de segurança a dois recursos não permite que eles se comuniquem automaticamente. Crie políticas ZPR que permitam os caminhos de comunicação necessários. Você cria e gerencia políticas ZPR no serviço ZPR (Zero Trust Packet Routing) (consulte Criando uma Política ZPR).
  • Devem existir permissões adequadas do IAM para usar os namespaces de atributo de segurança ZPR necessários. O OCI IAM impõe acesso a atributos de segurança para recursos relacionados a clusters, como pontos finais de API do Kubernetes, VNICs de nó e balanceadores de carga. Para obter mais informações, consulte Políticas do IAM Obrigatórias.

  • Se você designar atributos de segurança a balanceadores de carga, balanceadores de carga de rede ou VNICs de pod, as políticas do IAM necessárias também deverão permitir que os componentes do Kubernetes Engine que provisionem esses recursos anexem os atributos de segurança especificados. Por exemplo, o Cloud Controller Manager e o controlador de entrada nativo do OCI exigem uma política adequada do IAM para anexar os atributos de segurança solicitados aos recursos que eles criam, como:

    Allow any-user to use security-attribute-namespace in tenancy where request.principal.type = 'cluster'

    Para obter mais informações, consulte Políticas do IAM Obrigatórias.

  • O ZPR não substitui as políticas de rede do Kubernetes e não impõe o tráfego entre pods no mesmo nó de trabalho. Para controlar o tráfego entre pods em um cluster, incluindo o tráfego entre pods no mesmo nó de trabalho, use políticas de rede do Kubernetes.
  • Os atributos de segurança ZPR são suportados ao provisionar reivindicações de volume persistente com sistemas de arquivos do serviço File Storage, mas não com volumes em blocos do serviço Block Volume.

Políticas do Serviço IAM Obrigatórias

Política do serviço IAM necessária para adicionar atributos de segurança a recursos relacionados ao cluster

Para que você possa adicionar um atributo de segurança a um recurso relacionado a cluster, uma política do serviço IAM deve conceder ao grupo ao qual você pertence permissão para usar o namespace do atributo de segurança que contém o atributo de segurança. Por exemplo, usando a seguinte sintaxe:

Allow group <group-name> to use security-attribute-namespaces in tenancy

Se você usar a instrução de política Allow group <group-name> to use security-attribute-namespaces in tenancy para conceder aos usuários acesso a namespaces de atributos de segurança, observe que essa instrução de política dá ao grupo permissão para usar todos os namespaces de atributos de segurança na tenancy. Se você considerar isso muito permissivo, poderá restringir os namespaces de atributo de segurança aos quais o grupo tem acesso, incluindo uma cláusula where na instrução. Por exemplo:

Allow group <group-name> to use security-attribute-namespaces in tenancy where target.security-attribute-namespace.name = 'oke-san'

Observe que, se você incluir uma cláusula where, também deverá incluir uma segunda instrução na política para permitir ao grupo inspecionar todos os namespaces de atributo de segurança na tenancy (ao usar a Console). Por exemplo:

Allow group <group-name> to inspect security-attribute-namespaces in tenancy

Quando atributos de segurança foram adicionados a um recurso relacionado ao cluster, o recurso só poderá acessar outros recursos do OCI se o acesso for permitido por uma política de ZPR.

Observe que, se não existir uma política adequada do IAM para usar o namespace do atributo de segurança, você não poderá adicionar o atributo de segurança a um recurso relacionado ao cluster. O atributo de segurança não é mostrado na Console e a tentativa de adicionar o atributo de segurança usando a CLI do OCI ou a API falha.

Políticas do IAM necessárias para permitir que clusters e pools de nós acessem namespaces de atributos de segurança

Quando você adiciona atributos de segurança a um recurso de cluster ou a um recurso de pool de nós, uma política adequada do serviço IAM deve conceder ao cluster ou ao pool de nós acesso aos namespaces de atributo de segurança necessários. Por exemplo:

Allow any-user to use security-attribute-namespace in compartment <compartment_name> where request.principal.type = 'cluster'
Allow any-user to manage security-attribute-namespace in compartment <compartment_name> where request.principal.type = 'nodepool'

Políticas ZPR obrigatórias

Políticas de ZPR necessárias para permitir que recursos relacionados ao cluster acessem outros recursos

Quando você adiciona um atributo de segurança a um recurso relacionado ao cluster, o recurso só poderá acessar outros recursos se uma política de ZPR conceder acesso a esses recursos.

Se uma política de ZPR adequada ainda não existir, você precisará criar uma. Por exemplo, usando a seguinte sintaxe:

in <vcn-security-attribute> VCN allow <application-security-attribute> endpoints to connect to <destination-security-attribute> endpoints

em que:

  • <vcn-security-attribute> é um atributo (e valor) de segurança que foi adicionado à VCN na qual reside a sub-rede do recurso. Por exemplo, VCN-Network:myVCN.
  • <application-security-attribute> é o atributo de segurança (e o valor) que você adicionou ao recurso relacionado ao cluster. Por exemplo, oke-cluster:myclusterA
  • <destination-security-attribute> é um atributo (e valor) de segurança que foi adicionado ao recurso que você deseja que o recurso relacionado ao cluster acesse. Por exemplo, DB-Server:App1

Por exemplo:

in VCN-Network:myVCN VCN allow oke-cluster:myclusterA endpoints to connect to DB-Server:App1 endpoints

Para obter mais informações sobre políticas, sintaxe e exemplos de ZPR, consulte Política de Roteamento de Pacote de Confiança Zero na documentação do ZPR.

Políticas de ZPR necessárias quando atributos de segurança são adicionados a VNICs principais de nós gerenciados

Quando você especifica atributos de segurança ZPR para as VNICs principais de instâncias de computação que fazem backup de nós gerenciados em um pool de nós gerenciados, as seguintes políticas ZPR adicionais são necessárias para permitir que os nós gerenciados se unam ao cluster:

in zpr-cni.sensitivity:42 VCN allow zpr-cni.sensitivity:42 endpoints to connect to 'all-endpoints'
in zpr-cni.sensitivity:42 VCN allow all-endpoints to connect to zpr-cni.sensitivity:42 endpoints with protocol = 'tcp/443'

in zpr-cni.sensitivity:42 VCN allow zpr-cni.sensitivity:42 endpoints to connect to 'osn-services-ip-addresses'

Adicionando Atributos de Segurança ao Ponto Final da API do Kubernetes de um Cluster

Você pode adicionar atributos de segurança ZPR ao ponto final da API do Kubernetes ao criar um cluster ou ao atualizar um cluster existente. Os atributos de segurança do ponto final do cluster só se aplicam ao ponto final da API do Kubernetes. Esses atributos de segurança não se aplicam a nós de trabalho, pods, balanceadores de carga ou outros recursos relacionados ao cluster.

Antes de adicionar atributos de segurança ao ponto final da API do Kubernetes, certifique-se de que uma política de ZPR permita que clientes autorizados acessem o ponto final. Por exemplo, crie uma política de ZPR que permita acesso de clientes que usam kubectl.

  • Para adicionar atributos de segurança ao ponto final da API do Kubernetes de um novo cluster ao criar o cluster usando a Console, consulte Usando a Console para criar um Cluster com Definições Explicitamente Definidas no workflow 'Criação Personalizada'.

    Para adicionar ou remover atributos de segurança de ou para o ponto final da API do Kubernetes de um cluster existente usando a Console:

    1. Na página da lista Clusters, selecione o cluster com o ponto final da API do Kubernetes ao qual você deseja adicionar ou remover atributos de segurança de ou para. Se precisar de ajuda para localizar a página de lista ou o cluster, consulte Listando Clusters.

      A guia Segurança mostra os atributos de segurança que já foram adicionados ao ponto final da API do Kubernetes do cluster (se houver).

    2. Para adicionar um atributo de segurança ao Ponto Final da API do Kubernetes do cluster:

      1. Na guia Segurança, selecione Adicionar e, na caixa de diálogo Adicionar atributos de segurança:
        • Selecione o namespace do atributo de segurança que contém o atributo de segurança.
        • Selecione o atributo da segurança.
        • Informe o valor do atributo da segurança.
      2. Se você quiser adicionar vários atributos de segurança ao ponto final da API do Kubernetes do cluster, selecione Adicionar e selecione atributos de segurança adicionais (até cinco no máximo).
      3. Selecione Adicionar atributos de segurança.

    3. Para remover um atributo de segurança do ponto final da API do Kubernetes do cluster:

      1. Na guia Segurança, selecione Excluir no menu Ações (três pontos) ao lado do atributo de segurança que você deseja excluir.
      2. Confirme se você deseja excluir o atributo de segurança.

    Os atributos de segurança mostrados na guia Segurança do cluster agora se aplicam ao ponto final da API do Kubernetes do cluster.

  • Use o comando oci ce cluster create e os parâmetros necessários para criar um cluster:

    oci ce cluster create --compartment-id <compartment-ocid> --kubernetes-version <kubernetes-version> --name <cluster-name> --vcn-id <vcn-ocid> [OPTIONS]

    Use o comando oci ce cluster update e os parâmetros necessários para atualizar um cluster:

    oci ce cluster update --cluster-id <cluster-ocid> [OPTIONS]

    Para obter uma lista completa de flags e opções de variável para comandos de CLI do OCI, consulte a Referência de Linha de Comandos.

  • Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

    Use estas operações de API para adicionar ou remover atributos de segurança de ou para o ponto final da API do Kubernetes de um cluster:

Adicionando Atributos de Segurança a VNICs Principais de Nós Gerenciados

Você pode especificar atributos de segurança ZPR para as VNICs principais das instâncias de computação que fazem backup dos nós gerenciados em um pool de nós gerenciados. Você especifica esses atributos de segurança ao criar um pool de nós gerenciados ou ao atualizar um pool de nós gerenciados existente. Os atributos de segurança da VNIC principal se aplicam a novas instâncias de computação que são iniciadas no pool de nós. Esses atributos de segurança são usados para tráfego no nível do nó, como tráfego kubelet, tráfego do Oracle Cloud Agent e tráfego de pods que usam a rede do host. Esses atributos de segurança não se aplicam às VNICs secundárias usadas para tráfego de pods ou a outros recursos relacionados ao cluster.

Quando você atualiza os atributos de segurança de um pool de nós gerenciados, as alterações só se aplicam a novos nós de trabalho. Os nós de trabalho existentes e suas VNICs não são atualizados. Para aplicar os atributos de segurança atualizados às cargas de trabalho existentes, substitua os nós de trabalho no pool de nós (consulte Encerrando e Substituindo Nós de Trabalho). Observe que a substituição do volume de inicialização não aplica atributos de segurança atualizados do pool de nós. Os nós de trabalho devem ser substituídos.

  • Para adicionar atributos de segurança às VNICs principais de nós gerenciados ao criar um novo cluster usando a Console, consulte Usando a Console para criar um Cluster com Definições Explicitamente Definidas no workflow 'Criação Personalizada'.

    Para adicionar atributos de segurança às VNICs principais de nós gerenciados ao criar um novo pool de nós gerenciados usando a Console, consulte Criando um Pool de Nós Gerenciados.

    Para adicionar ou remover atributos de segurança para as VNICs principais de nós gerenciados em um pool de nós gerenciados existente usando a Console:

    1. Na página da lista Clusters, selecione o nome do cluster a ser modificado. Se precisar de ajuda para localizar a página de lista ou o cluster, consulte Listando Clusters.
    2. Selecione a guia Pools de nós e, em seguida, selecione o nome do pool de nós que deseja modificar.

      A guia Segurança mostra os atributos de segurança que foram configurados para as VNICs principais de nós gerenciados no pool de nós, se houver.

    3. Para adicionar um atributo de segurança para as VNICs principais de nós gerenciados:

      1. Na guia Segurança, na seção Atributos de segurança da VNIC Principal, selecione Adicionar e, na caixa de diálogo Adicionar atributos de segurança:
        • Selecione o namespace do atributo de segurança que contém o atributo de segurança.
        • Selecione o atributo da segurança.
        • Informe o valor do atributo da segurança.
      2. Se quiser adicionar vários atributos de segurança à VNIC principal do pool de nós, selecione Adicionar e selecione atributos de segurança adicionais (até cinco no máximo).
      3. Selecione Adicionar atributos de segurança.

    4. Para remover um atributo de segurança da VNIC principal do pool de nós:

      1. Na guia Segurança, na seção Atributos de segurança da VNIC Principal, selecione Excluir no menu Ações (três pontos) ao lado do atributo de segurança que você deseja excluir.
      2. Confirme se deseja excluir o atributo de segurança.

    Os atributos de segurança mostrados na guia Segurança do pool de nós agora se aplicam às VNICs principais dos novos nós de trabalho que são iniciados no pool de nós.

  • Use o comando oci ce node-pool create e os parâmetros necessários para adicionar um pool de nós gerenciados:
    oci ce node-pool create --cluster-id <cluster-ocid> --compartment-id <compartment-ocid> --name <node-pool-name> --node-shape <shape>

    Use o comando oci ce node-pool update e os parâmetros necessários para atualizar um pool de nós gerenciados:

    oci ce node-pool update --node-pool-id <node-pool-ocid> [OPTIONS]

    Para obter uma lista completa de flags e opções de variável para comandos de CLI do OCI, consulte a Referência de Linha de Comandos.

  • Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

    Use estas operações de API para adicionar ou remover atributos de segurança de ou para a VNIC principal de um pool de nós gerenciados:

Adicionando Atributos de Segurança a VNICs Secundárias de Nós Gerenciados

Você pode especificar atributos de segurança ZPR para as VNICs secundárias das instâncias de computação que fazem backup dos nós gerenciados em um pool de nós gerenciados. Você especifica esses atributos de segurança ao criar um pool de nós gerenciados ou ao atualizar um pool de nós gerenciados existente. Em clusters que usam o plug-in CNI de Rede de Pods Nativos da VCN do OCI, as VNICs secundárias são usadas para tráfego de pods. Esses atributos de segurança não se aplicam às VNICs principais usadas para tráfego no nível do nó ou a outros recursos relacionados ao cluster.

Observe que, se você definir várias VNICs secundárias para um pool de nós gerenciados, deverá especificar os mesmos atributos de segurança para todas as VNICs secundárias no pool de nós.

Recomendamos que você planeje o posicionamento da carga de trabalho antes de designar atributos de segurança a VNICs secundárias. O Kubernetes Engine aplica atributos de segurança de pod no nível do pool de nós, de modo que as cargas de trabalho que exigem diferentes perfis de segurança devem ser executadas em diferentes pools de nós.

Quando você atualiza os atributos de segurança de um pool de nós gerenciados, as alterações só se aplicam a novos nós de trabalho. Os nós de trabalho existentes e suas VNICs não são atualizados. Para aplicar os atributos de segurança atualizados às cargas de trabalho existentes, substitua os nós de trabalho no pool de nós (consulte Encerrando e Substituindo Nós de Trabalho). Observe que a substituição do volume de inicialização não aplica atributos de segurança atualizados do pool de nós. Os nós de trabalho devem ser substituídos.

  • Para adicionar atributos de segurança às VNICs secundárias de nós gerenciados ao criar um novo cluster usando a Console, consulte Usando a Console para criar um Cluster com Definições Explicitamente Definidas no workflow 'Criação Personalizada'.

    Para adicionar atributos de segurança às VNICs secundárias de nós gerenciados ao criar um novo pool de nós gerenciados usando a Console, consulte Criando um Pool de Nós Gerenciados.

    Para adicionar ou remover atributos de segurança para as VNICs secundárias de nós gerenciados em um pool de nós gerenciados existente usando a Console:

    1. Na página da lista Clusters, selecione o nome do cluster a ser modificado. Se precisar de ajuda para localizar a página de lista ou o cluster, consulte Listando Clusters.
    2. Selecione a guia Pools de nós e, em seguida, selecione o nome do pool de nós que deseja modificar.

      A guia Segurança mostra os atributos de segurança que foram configurados para as VNICs secundárias de nós gerenciados no pool de nós, se houver.

    3. Para adicionar um atributo de segurança para as VNICs secundárias de nós gerenciados:

      1. Na guia Segurança, na seção Atributos de segurança da VNIC Secundária, selecione Adicionar e, na caixa de diálogo Adicionar atributos de segurança:
        • Selecione o namespace do atributo de segurança que contém o atributo de segurança.
        • Selecione o atributo da segurança.
        • Informe o valor do atributo da segurança.
      2. Se quiser adicionar vários atributos de segurança à VNIC secundária do pool de nós, selecione Adicionar e selecione atributos de segurança adicionais (até cinco no máximo).
      3. Selecione Adicionar atributos de segurança.

    4. Para remover um atributo de segurança da VNIC secundária do pool de nós:

      1. Na guia Segurança, na seção Atributos de segurança da VNIC Secundária, selecione Excluir no menu Ações (três pontos) ao lado do atributo de segurança que você deseja excluir.
      2. Confirme se você deseja excluir o atributo de segurança.

    Os atributos de segurança mostrados na guia Segurança do pool de nós agora se aplicam às VNICs secundárias dos novos nós de trabalho que são iniciados no pool de nós.

  • Use o comando oci ce node-pool create e os parâmetros necessários para adicionar um pool de nós gerenciados:
    oci ce node-pool create --cluster-id <cluster-ocid> --compartment-id <compartment-ocid> --name <node-pool-name> --node-shape <shape>

    Use o comando oci ce node-pool update e os parâmetros necessários para atualizar um pool de nós gerenciados:

    oci ce node-pool update --node-pool-id <node-pool-ocid> [OPTIONS]

    Para obter uma lista completa de flags e opções de variável para comandos de CLI do OCI, consulte a Referência de Linha de Comandos.

  • Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

    Use estas operações de API para adicionar ou remover atributos de segurança de ou para VNICs secundárias de um pool de nós gerenciados:

Adicionando Atributos de Segurança a Balanceadores de Carga e Balanceadores de Carga de Rede Provisionados para Serviços Kubernetes do Tipo LoadBalancer

Você pode usar a anotação oci.oraclecloud.com/security-attributes para especificar os atributos de segurança ZPR que o Kubernetes Engine adiciona aos balanceadores de carga e balanceadores de carga de rede que ele provisiona para serviços do tipo LoadBalancer. Para obter mais informações, consulte Especificando Atributos de Segurança ZPR para Balanceadores de Carga e Balanceadores de Carga de Rede.

Adicionando Atributos de Segurança aos Balanceadores de Carga Provisionados pelo Controlador de Entrada Nativo do OCI

Você pode usar a anotação oci-native-ingress.oraclecloud.com/security-attributes no manifesto IngressClass para especificar os atributos de segurança ZPR que o controlador de entrada nativo do OCI adiciona aos balanceadores de carga que ele provisiona. Para obter mais informações, consulte Especificando Atributos de Segurança ZPR.

Adicionando Atributos de Segurança aos Pontos de Acesso NFS do File Storage Service Criados pelo Plug-in de Volume CSI

Você pode usar o parâmetro securityAttributes no manifesto StorageClass para especificar os atributos de segurança ZPR que o plug-in de volume CSI adiciona aos pontos de acesso NFS do serviço File Storage que ele cria. Para obter mais informações, consulte Provisionando PVCs no File Storage Service.