Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene
Stellen Sie sicher, dass Cluster mit privaten Knoten erstellt werden, um die Sicherheit
zu erhöhen, indem öffentliche IP-Adressen auf Clusterknoten deaktiviert werden und
sie dadurch nur auf private IP-Adressen beschränkt werden. Private Knoten, die keine
öffentlichen IPs haben, beschränken die Zugänglichkeit der Knoten auf interne Netzwerke,
sodass Angreifer zuerst Zugriff auf das lokale Netzwerk erlangen müssen, bevor sie
versuchen können, die Kubernetes-Hosts zu kompromittieren. Um private Knoten effektiv
zu implementieren, muss der Cluster auch mit einem privaten Master-IP-Bereich und
IP-Aliasing konfiguriert werden. Beachten Sie, dass private Knoten nicht von Natur
aus ausgehenden Zugriff auf das öffentliche Internet haben; um dies zu ermöglichen,
kann Cloud NAT verwendet werden, oder Sie können Ihr eigenes NAT-Gateway verwalten,
um ausgehenden Internetzugang für diese Knoten bereitzustellen.
Auswirkung
Um Private Nodes zu aktivieren, muss der Cluster auch mit einem privaten Master-IP-Bereich
konfiguriert und IP-Aliasing aktiviert sein.
Private Nodes haben keinen ausgehenden Zugriff auf das öffentliche Internet. Wenn
Sie ausgehenden Internetzugriff für Ihre privaten Nodes bereitstellen möchten, können
Sie Cloud NAT verwenden oder Ihr eigenes NAT-Gateway verwalten.
Prüfung
Überprüfen Sie, ob die folgenden auf 'aktiviert: true' gesetzt sind
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
Prüfen Sie, ob die folgenden nicht null sind:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
Wiederherstellung
aws eks update-cluster-config \
--region region-code \
--name my-cluster \
--resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true