Ansichten:
Profilanwendbarkeit: Stufe 2
Aktivieren Sie die autorisierten Netzwerke der Steuerungsebene, um den Zugriff auf die Steuerungsebene des Clusters auf eine Positivliste autorisierter IPs zu beschränken.
Autorisierte Netzwerke sind eine Möglichkeit, einen eingeschränkten Bereich von IP-Adressen anzugeben, die berechtigt sind, auf die Steuerungsebene Ihres Clusters zuzugreifen. Kubernetes Engine verwendet sowohl Transport Layer Security (TLS) als auch Authentifizierung, um sicheren Zugriff auf die Steuerungsebene Ihres Clusters aus dem öffentlichen Internet zu ermöglichen. Dies bietet Ihnen die Flexibilität, Ihren Cluster von überall aus zu verwalten; Sie möchten den Zugriff jedoch möglicherweise weiter auf eine Reihe von IP-Adressen beschränken, die Sie kontrollieren. Sie können diese Einschränkung festlegen, indem Sie ein autorisiertes Netzwerk angeben.
Control Plane Authorized Networks blockieren nicht vertrauenswürdige IP-Adressen. Google Cloud Platform IPs (wie z. B. der Datenverkehr von Compute Engine VMs) können über HTTPS auf Ihren Master zugreifen, vorausgesetzt, sie verfügen über die erforderlichen Kubernetes-Anmeldedaten.
Das Einschränken des Zugriffs auf ein autorisiertes Netzwerk kann zusätzliche Sicherheitsvorteile für Ihren Container-Cluster bieten, einschließlich:
  • Besserer Schutz vor Angriffen von außen: Autorisierte Netzwerke bieten eine zusätzliche Sicherheitsebene, indem sie den externen, nicht-GCP-Zugriff auf eine von Ihnen festgelegte spezifische Adressgruppe beschränken, wie z. B. solche, die von Ihrem Standort stammen. Dies hilft, den Zugriff auf Ihren Cluster im Falle einer Sicherheitslücke im Authentifizierungs- oder Autorisierungsmechanismus des Clusters zu schützen.
  • Besserer Schutz vor Insider-Angriffen: Autorisierte Netzwerke helfen, Ihren Cluster vor versehentlichen Lecks von Master-Zertifikaten aus den Räumlichkeiten Ihres Unternehmens zu schützen. Leckgeschlagene Zertifikate, die außerhalb von GCP und außerhalb der autorisierten IP-Bereiche verwendet werden (zum Beispiel von Adressen außerhalb Ihres Unternehmens), werden weiterhin der Zugriff verweigert.
Hinweis
Hinweis
Standardmäßig sind die autorisierten Netzwerke der Steuerungsebene deaktiviert.

Auswirkung

Beim Implementieren von autorisierten Netzwerken für die Steuerungsebene sollten Sie darauf achten, dass alle gewünschten Netzwerke auf der Zulassungsliste stehen, um zu verhindern, dass der externe Zugriff auf die Steuerungsebene Ihres Clusters versehentlich blockiert wird.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie in der Liste der Cluster auf den Cluster, um die Detailseite zu öffnen.
  3. Stellen Sie sicher, dass die autorisierten Netzwerke des Masters auf Aktiviert eingestellt sind.
Verwendung der Befehlszeile:
Um den Status der Master Authorized Networks für einen bestehenden Cluster zu überprüfen, führen Sie den folgenden Befehl aus:
gcloud container clusters update $CLUSTER_NAME --zone $COMPUTE_ZONE 
--enable-master-authorized-networks
Die Ausgabe sollte Folgendes zurückgeben, wenn Control Plane Authorized Networks aktiviert ist:
{ 
    "enabled": true 
}
Wenn Master Authorized Networks deaktiviert ist, gibt der obige Befehl null ({ }) zurück.

Wiederherstellung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie Kubernetes-Cluster aus, für die Control Plane Authorized Networks deaktiviert ist.
  3. Klicken Sie im Detailbereich unter der Überschrift Netzwerk auf das Stiftsymbol mit der Bezeichnung Steuerungsebene autorisierte Netzwerke bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen neben Steuerungsebene autorisierte Netzwerke aktivieren.
  5. Klicken Sie auf SAVE CHANGES.
Verwendung der Befehlszeile:
Um Control Plane Authorized Networks für einen bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--enable-master-authorized-networks
Zusätzlich können Sie autorisierte Netzwerke mit dem --master-authorized-networks-Flag auflisten, das eine Liste von bis zu 20 externen Netzwerken enthält, die über HTTPS mit der Steuerungsebene Ihres Clusters verbunden werden dürfen. Sie geben diese Netzwerke als kommagetrennte Liste von Adressen in CIDR-Notation an (wie 90.90.100.0/24).