Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene
Aktivieren Sie den Endpoint Private Access, um den Zugriff auf die Steuerungsebene
Ihres Clusters auf eine Liste autorisierter IP-Adressen zu beschränken. Diese Maßnahme
legt einen eingeschränkten Bereich von IP-Adressen fest, die Zugriff auf die Steuerungsebene
Ihres Clusters haben dürfen, was in Kombination mit Transport Layer Security (TLS)
und Authentifizierung den Zugriff aus dem öffentlichen Internet sichert. Obwohl die
Kubernetes Engine die Möglichkeit bietet, Ihren Cluster von überall aus zu verwalten,
können Sie den Zugriff weiter auf bestimmte IP-Adressen unter Ihrer Kontrolle beschränken.
Autorisierte Netzwerke erhöhen die Sicherheit, indem sie Ihren Cluster vor potenziellen
externen Angriffen schützen, indem sie den externen Zugriff auf festgelegte Adressen
beschränken, und vor internen Bedrohungen, indem sie den Zugriff verhindern, selbst
wenn Master-Zertifikate versehentlich außerhalb Ihrer Organisation geleakt werden.
Es muss darauf geachtet werden, beim Einrichten des Endpoint Private Access alle notwendigen
IP-Adressen in die autorisierte Liste aufzunehmen, um unbeabsichtigtes Blockieren
des legitimen Zugriffs auf die Steuerungsebene des Clusters zu vermeiden.
Auswirkung
Bei der Implementierung von Endpoint Private Access stellen Sie sicher, dass alle
erforderlichen Netzwerke in der Positivliste enthalten sind, um den Zugriff auf die
Steuerungsebene Ihres Clusters nicht zu blockieren.
Prüfung
Überprüfen Sie die folgenden Einstellungen, um zu bestätigen, dass sie 'aktiviert:
true' sind:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPublicAccess"
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
Überprüfen Sie, dass das Folgende nicht null ist:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
Wiederherstellung
Aktivieren Sie den privaten Endpunktzugriff, um sicherzustellen, dass die gesamte
Kommunikation zwischen Ihren Knoten und dem API-Server innerhalb Ihres VPC bleibt.
Dies ermöglicht es Ihnen auch, IP-Adressen zu beschränken, die von außerhalb auf Ihren
API-Server zugreifen können, oder den Internetzugang vollständig zu deaktivieren.
Verwenden Sie zum Beispiel den folgenden Befehl, um privaten Zugriff und eingeschränkten
öffentlichen Zugriff zu aktivieren:
aws eks update-cluster-config --region $AWS_REGION --name $CLUSTER_NAME --resources-vpc-config endpointPrivateAccess=true, endpointPublicAccess=true, publicAccessCidrs="203.0.113.5/32"
Hinweis: CIDR-Blöcke dürfen keine reservierten Adressen enthalten. Weitere Informationen
finden Sie in der Dokumentation zum EKS-Cluster-Endpunkt.