設定檔適用性:等級 1
私人節點是沒有公共 IP 位址的節點。關閉叢集節點的公共 IP 位址,使其僅具有私人 IP 位址。
將叢集節點上的公共 IP 位址停用會限制僅能存取內部網路,迫使攻擊者在嘗試入侵基礎 Kubernetes 主機之前,必須先獲得本地網路存取權。
 |
注意預設情況下,私密節點是停用的。
|
影響
要啟用私人節點,叢集還必須配置私人主 IP 範圍並啟用 IP 別名。
私有節點無法輸出至公共網路。如果您想為您的私有節點提供輸出網路存取,您可以使用雲端 NAT 或管理您自己的 NAT 閘道。
要從私有節點存取 Google 雲端 API 和服務,必須在 Kubernetes 引擎叢集子網路上設定私有 Google 存取。
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 選擇所需的叢集,並在詳細資訊窗格中,確保私人叢集設置為已啟動。
使用命令列:
執行此命令:
gcloud container clusters describe <cluster_name> --format json | jq '.privateClusterConfig.enablePrivateNodes'
如果已啟動私人節點,上述命令的輸出將返回
true。補救
一旦建立叢集時未啟用私人節點,則無法修復。必須重新建立叢集。
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 點擊CREATE CLUSTER。
- 根據需要配置叢集,然後在導航窗格中的叢集下點擊Networking。
- 在 IPv4 網路存取下,點擊私人叢集單選按鈕。
- 根據需要配置其他設定,然後點擊CREATE。
使用命令列:
若要建立已啟動私人節點的叢集,請在叢集建立命令中包含
--enable-private-nodes 標誌:gcloud container clusters create <cluster_name> --enable-private-nodes
設定此旗標還需要設定
--enable-ip-alias和--master-ipv4-cidr=<master_cidr_range>。