設定檔適用性:等級 2
啟用控制平面授權網路以限制對叢集控制平面的訪問,僅限於授權 IP 的允許列表。
授權網路是一種指定允許存取您叢集控制平面的 IP 位址範圍的方法。Kubernetes 引擎使用傳輸層安全性 (TLS) 和驗證來提供從公共網路安全存取您叢集的控制平面。這使您能夠從任何地方管理您的叢集;然而,您可能希望進一步限制存取至您控制的一組
IP 位址。您可以透過指定授權網路來設定此限制。
控制平面授權網路會阻擋不受信任的 IP 位址。Google 雲端平台 IP(例如來自 Compute Engine VM 的流量)可以透過 HTTPS 連接到您的主伺服器,前提是它們擁有必要的
Kubernetes 憑證。
限制存取授權網路可以為您的容器叢集提供額外的安全效益,包括:
- 更好的外部攻擊保護:授權網路通過限制外部、非 GCP 訪問到您指定的一組地址(例如來自您所在地的地址),提供額外的安全層。這有助於在叢集的驗證或授權機制出現弱點時保護對您叢集的訪問。
- 更好的內部攻擊保護:授權網路有助於保護您的叢集,防止公司內部主憑證意外洩漏。從 GCP 外部和授權 IP 範圍外(例如,來自公司外部的地址)使用的洩漏憑證仍然會被拒絕訪問。
 |
注意預設情況下,控制平面授權網路是停用的。
|
影響
在實施控制平面授權網路時,請注意確保所有所需的網路都在允許清單上,以防止意外阻止外部訪問您叢集的控制平面。
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 從叢集列表中,點擊叢集以打開詳細資訊頁面。
- 請確保主授權網路設定為已啟動。
使用命令列:
要檢查現有叢集的主授權網路狀態,請執行以下命令:
gcloud container clusters update $CLUSTER_NAME --zone $COMPUTE_ZONE --enable-master-authorized-networks
如果已啟動控制平面授權網路,則應返回以下輸出:
{
"enabled": true
}
如果停用了 Master Authorized Networks,則上述命令將返回 null (
{ })。補救
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 選擇已停用控制平面授權網路的 Kubernetes 叢集。
- 在詳細資訊窗格中,於網路標題下,點擊名為編輯控制平面授權網路的鉛筆圖示。
- 勾選旁邊的方框以啟用控制平面授權網路。
- 點擊SAVE CHANGES。
使用命令列:
要為現有叢集啟用控制平面授權網路,請執行以下命令:
gcloud container clusters update <cluster_name> --zone <compute_zone> --enable-master-authorized-networks
與此同時,您可以使用
--master-authorized-networks 標誌列出授權網路,其中包含最多 20 個外部網路,允許通過 HTTPS 連接到您叢集的控制平面。您以 CIDR 表示法(例如 90.90.100.0/24)提供這些網路作為逗號分隔的地址列表。