GKE にアプリをデプロイしてセキュリティ分析情報を表示する
GKE クラスタに意図的に脆弱化させたコンテナをデプロイし、セキュリティ対策ダッシュボードで脆弱性に関するセキュリティ分析情報を取得する方法を学びます。GKE のセキュリティ対策ダッシュボードには、オペレーティング システムの既知の脆弱性に関する情報が表示されます。Go または Java パッケージの脆弱性の言語スキャンも行う場合は、アプリケーションをビルドしてセキュリティ分析情報を表示するをご覧ください。
目標
- Cloud Build を使用して、コンテナ化されたアプリケーションをビルドして Artifact Registry に push します。
- Cloud Deploy でデリバリー パイプラインを作成します。
- アプリケーションをステージング GKE クラスタにデプロイし、本番環境クラスタに昇格させます。
- Google Cloud コンソールのセキュリティ体制ダッシュボードを使用して、デプロイされたアプリケーションの脆弱性に関する分析情報を表示します。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
- Google Cloud CLI をインストールします。
-
gcloud CLI を初期化するには:
gcloud init
-
Google Cloud プロジェクトを作成または選択します。
-
Google Cloud プロジェクトを作成します。
gcloud projects create PROJECT_ID
PROJECT_IDは、作成する Google Cloud プロジェクトの名前に置き換えます。 -
作成した Google Cloud プロジェクトを選択します。
gcloud config set project PROJECT_ID
PROJECT_IDは、実際の Google Cloud プロジェクト名に置き換えます。
-
-
Artifact Registry, Cloud Build, Cloud Deploy, Google Kubernetes Engine, Container Security, and Container Analysis API を有効にします。
gcloud services enable artifactregistry.googleapis.com
cloudbuild.googleapis.com clouddeploy.googleapis.com container.googleapis.com containersecurity.googleapis.com containeranalysis.googleapis.com - Google Cloud CLI をインストールします。
-
gcloud CLI を初期化するには:
gcloud init
-
Google Cloud プロジェクトを作成または選択します。
-
Google Cloud プロジェクトを作成します。
gcloud projects create PROJECT_ID
PROJECT_IDは、作成する Google Cloud プロジェクトの名前に置き換えます。 -
作成した Google Cloud プロジェクトを選択します。
gcloud config set project PROJECT_ID
PROJECT_IDは、実際の Google Cloud プロジェクト名に置き換えます。
-
-
Artifact Registry, Cloud Build, Cloud Deploy, Google Kubernetes Engine, Container Security, and Container Analysis API を有効にします。
gcloud services enable artifactregistry.googleapis.com
cloudbuild.googleapis.com clouddeploy.googleapis.com container.googleapis.com containersecurity.googleapis.com containeranalysis.googleapis.com
このドキュメントに記載されているタスクの完了後、作成したリソースを削除すると、それ以上の請求は発生しません。詳細については、クリーンアップをご覧ください。
環境を準備する
プロジェクト ID を環境変数として設定します。
export PROJECT_ID=$(gcloud config get project)Cloud Deploy のデフォルトの Google Cloud リージョンを設定します。
gcloud config set deploy/region us-central1このタスクのサンプルコードが含まれる GitHub リポジトリのクローンを作成します。
git clone https://github.com/googlecloudplatform/software-delivery-shield-demo-java.git cd ~/software-delivery-shield-demo-java/backendGKE の IAM サービス アカウントを作成します。
以下のクラスタを使用します。
gcloud iam service-accounts create sds-runtime \ --display-name="SDS with GKE service account"IAM サービス アカウントへのアクセス権を付与します。
gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \ --role="roles/container.nodeServiceAccount" gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \ --role="roles/clouddeploy.jobRunner" gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \ --role="roles/container.developer" gcloud projects add-iam-policy-binding $PROJECT_ID \ --member=serviceAccount:sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com \ --role="roles/artifactregistry.reader"デフォルトの Compute Engine サービス アカウントに GKE クラスタへのアクセス権を付与します。Cloud Deploy はこのアクセス権を使用して、デリバリー パイプライン内のクラスタにアプリをデプロイします。
PROJECT_NUMBER="$(gcloud projects describe ${PROJECT_ID} --format='get(projectNumber)')" gcloud projects add-iam-policy-binding ${PROJECT_NUMBER} \ --member=serviceAccount:${PROJECT_NUMBER}[email protected] \ --role=roles/container.developer
イメージ用の Artifact Registry リポジトリを作成する
リポジトリを作成します。
gcloud artifacts repositories create containers \ --repository-format=docker \ --location=us-central1 \ --description="SDS with GKE repository"リポジトリが存在することを確認します。
gcloud artifacts repositories list \ --location=us-central1 \ --filter="REPOSITORY:containers"作成した
containersリポジトリが出力に表示されます。
GKE クラスタを作成する
2 つの GKE クラスタ(dev-cluster という名前のステージング クラスタと、prod-cluster という名前の本番環境クラスタ)を作成します。Autopilot では、バージョン 1.27 以降を実行している新しいクラスタでワークロードの脆弱性スキャンが自動的に有効になります。Standard クラスタを使用する場合は、--workload-vulnerability-scanning=standard フラグを指定します。
gcloud container clusters create-auto dev-cluster \
--region=us-central1 \
--release-channel=rapid \
--service-account=sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com
gcloud container clusters create-auto prod-cluster \
--region=us-central1 \
--release-channel=rapid \
--service-account=sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com
クラスタの作成が完了するまでに、最大で 5 分ほどかかります。既存の GKE クラスタを更新して、ワークロードの脆弱性スキャンを有効にすることもできます。
イメージをビルドする
Cloud Build を使用してイメージをビルドして送信します。
gcloud builds submit --region us-central1 --config cloudbuild.yaml
ビルドが完了したときの出力は、次のようになります。
DONE
-----------------------------------------------------------------------------
ID: 3e23094f-7f57-4449-bc68-51c37hn34d03
CREATE_TIME: 2022-09-19T15:41:07+00:00
DURATION: 54S
SOURCE: gs://my-project_cloudbuild/source/1663602066.777581-6ebe4b2d6fd741ffa18936d7f.tgz
IMAGES: us-central1-docker.pkg.dev/PROJECT_ID/containers/java-guestbook-backend:quickstart
STATUS: SUCCESS
Cloud Deploy を使用して GKE にイメージをデプロイする
プロジェクト ID で Cloud Deploy 構成ファイルを更新します。
sed -i "s/PROJECT_ID/${PROJECT_ID}/g" clouddeploy.yamlパイプラインとターゲットを登録します。
gcloud deploy apply --file=clouddeploy.yamlパイプラインが存在することを確認するには、Google Cloud コンソールの [デリバリー パイプライン] ページに移動します。
パイプラインのリストに新しいパイプライン
guestbook-app-deliveryが表示されます。進行状況をモニタリングするパイプラインの名前をクリックします。[デリバリー パイプラインの詳細] ページが開きます。
Cloud Deploy で新しいリリースを作成します。
gcloud deploy releases create guestbook-release-001 \ --delivery-pipeline=guestbook-app-delivery \ --images=java-guestbook-backend=us-central1-docker.pkg.dev/${PROJECT_ID}/containers/java-guestbook-backend:quickstart新しいリリースが [デリバリー パイプラインの詳細] ページの [リリース] セクションに表示されます。
dev-clusterの [昇格] ボタンが表示されるまで、[デリバリー パイプラインの詳細] ページで、[パイプラインの可視化] ビューをモニタリングします。ページの更新が必要になる場合があります。dev-cluster可視化で [昇格] をクリックします。[リリースのプロモーション] ペインで、[昇格] をクリックして、本番環境クラスタへの昇格を確認します。
リリースが成功したことを確認するには、[リリース] セクションを確認します。[最終ロールアウト ステータス] 列に、
Successfully deployed to prod-clusterが表示されます。
脆弱性を表示します
このセクションでは、セキュリティ対策ダッシュボードを使用して OS の脆弱性の分析情報を表示します。クラスタにワークロードをデプロイすると、ダッシュボードに実行中のワークロードの脆弱性に関する情報が表示されます。
Google Cloud コンソールの [GKE セキュリティ対策] ページに移動します。
スキャン結果を表示するには、ページを更新します。初期スキャンの完了には、最大で 15 分かかることがあります。
[GKE Security Posture] ページで、[ワークロード OS の脆弱性] セクションを確認します。このセクションでは、デプロイされたワークロードに影響する上位の CVE をリストアップします。
詳しくは、[すべての脆弱性に関する懸念を表示] をクリックします。[懸念事項] タブが開き、[脆弱性] 懸念事項タイプのフィルタを適用します。次の表は、各脆弱性の概要とその影響の概要を示しています。
特定の脆弱性の詳細については、表内の懸念事項の名前をクリックします。[脆弱性] ペインが開きます。このペインでは、次の操作が可能です。
- 影響を受けるバージョン、パッケージ、CVSS スコアなど、CVE の詳細な説明を読む。
- ドキュメントやパッチのバージョン情報など、リスクを軽減する推奨アクションを確認する。
- [影響を受けるワークロード] タブで、脆弱性の影響を受ける特定のワークロードを表示する。
クリーンアップ
このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、Google Cloud プロジェクトとそのリソースをまとめて削除してください。
リソースを個別に削除する
Cloud Deploy パイプラインを削除します。
gcloud deploy delivery-pipelines delete guestbook-app-delivery --forceGKE クラスタを削除します。
gcloud container clusters delete dev-cluster \ --region=us-central1 gcloud container clusters delete prod-cluster \ --region=us-central1Artifact Registry リポジトリを削除します。
gcloud artifacts repositories delete containers \ --location=us-central1IAM サービス アカウントを削除します。
gcloud iam service-accounts delete sds-runtime@${PROJECT_ID}.iam.gserviceaccount.com
プロジェクトを削除する
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.