Profilanwendbarkeit: Stufe 1
Deaktivieren Sie öffentliche IP-Adressen für Clusterknoten, sodass sie nur private
IP-Adressen haben. Private Knoten sind Knoten ohne öffentliche IP-Adressen.
Das Deaktivieren öffentlicher IP-Adressen auf Clusterknoten beschränkt den Zugriff
auf nur interne Netzwerke und zwingt Angreifer, zunächst Zugriff auf das lokale Netzwerk
zu erlangen, bevor sie versuchen, die zugrunde liegenden Kubernetes-Hosts zu kompromittieren.
Auswirkung
Um Private Nodes zu aktivieren, muss der Cluster auch mit einem privaten Master-IP-Bereich
konfiguriert und IP-Aliasing aktiviert sein.
Private Nodes haben keinen ausgehenden Zugriff auf das öffentliche Internet. Wenn
Sie ausgehenden Internetzugang für Ihre privaten Nodes bereitstellen möchten, können
Sie Cloud NAT verwenden oder Ihr eigenes NAT-Gateway verwalten.
Prüfung
Überprüfen Sie, ob Folgendes
'enabled: true' ist:export CLUSTER_NAME=<your cluster name>
export RESOURCE_GROUP=<your resource group name>
az aks show --name ${CLUSTER_NAME} --resource-group ${RESOURCE_GROUP}
--query "apiServerAccessProfile.enablePrivateCluster"
Wiederherstellung
az aks create \ --resource-group <private-cluster-resource-group> \ --name <private-cluster-name> \ --load-balancer-sku standard \ --enable-private-cluster \ --network-plugin azure \ --vnet-subnet-id <subnet-id> \ --docker-bridge-address \ --dns-service-ip \ --service-cidr
Wo
--enable-private-cluster ein obligatorisches Flag für einen privaten Cluster ist.