Ansichten:
Profilanwendbarkeit: Stufe 2
Aktivieren Sie die autorisierten Netzwerke der Steuerungsebene, um den Zugriff auf die Steuerungsebene des Clusters auf eine Positivliste autorisierter IPs zu beschränken.
Autorisierte Netzwerke sind eine Möglichkeit, einen eingeschränkten Bereich von IP-Adressen festzulegen, die Zugriff auf die Steuerungsebene Ihres Clusters haben dürfen. Kubernetes Engine verwendet sowohl Transport Layer Security (TLS) als auch Authentifizierung, um sicheren Zugriff auf die Steuerungsebene Ihres Clusters aus dem öffentlichen Internet zu ermöglichen.
Dies bietet Ihnen die Flexibilität, Ihren Cluster von überall aus zu verwalten; jedoch möchten Sie möglicherweise den Zugriff weiter auf eine Reihe von IP-Adressen beschränken, die Sie kontrollieren. Sie können diese Einschränkung festlegen, indem Sie ein autorisiertes Netzwerk angeben. Control Plane Authorized Networks blockiert nicht vertrauenswürdige IP-Adressen.
Google Cloud Platform-IP-Adressen (wie der Datenverkehr von Compute Engine-VMs) können Ihren Master über HTTPS erreichen, sofern sie die erforderlichen Kubernetes-Anmeldedaten haben.
Das Einschränken des Zugriffs auf ein autorisiertes Netzwerk kann zusätzliche Sicherheitsvorteile für Ihren Container-Cluster bieten, einschließlich:
  • Besserer Schutz vor Angriffen von außen: Autorisierte Netzwerke bieten eine zusätzliche Sicherheitsebene, indem sie den externen, nicht-GCP-Zugriff auf eine von Ihnen festgelegte Gruppe von Adressen beschränken, wie z. B. solche, die von Ihrem Standort stammen. Dies hilft, den Zugriff auf Ihren Cluster im Falle einer Sicherheitslücke im Authentifizierungs- oder Autorisierungsmechanismus des Clusters zu schützen.
  • Besserer Schutz vor Insider-Angriffen: Autorisierte Netzwerke helfen, Ihren Cluster vor versehentlichen Lecks von Master-Zertifikaten aus den Räumlichkeiten Ihres Unternehmens zu schützen. Zertifikate, die von außerhalb von GCP und außerhalb der autorisierten IP-Bereiche verwendet werden (zum Beispiel von Adressen außerhalb Ihres Unternehmens), wird der Zugriff weiterhin verweigert.
Hinweis
Hinweis
Standardmäßig sind die autorisierten Netzwerke der Steuerungsebene deaktiviert.

Auswirkung

Beim Implementieren von Control Plane Authorized Networks sollten Sie darauf achten, dass alle gewünschten Netzwerke auf der Zulassungsliste stehen, um ein versehentliches Blockieren des externen Zugriffs auf die Steuerungsebene Ihres Clusters zu vermeiden.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Klicken Sie in der Liste der Cluster auf den Cluster, um die Detailseite zu öffnen, und stellen Sie sicher, dass 'Master autorisierte Netzwerke' auf 'Aktiviert' gesetzt ist.
Verwendung der Befehlszeile:
Um den Status der Master Authorized Networks für einen bestehenden Cluster zu überprüfen, definieren Sie zunächst 3 Variablen: Clustername, Standort und Projekt, und führen Sie dann den folgenden Befehl aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- 
project $PROJECT_ID --format json | jq '.masterAuthorizedNetworksConfig'
Die Ausgabe sollte { "gcpPublicCidrsAccessEnabled": true } zurückgeben, wenn Control Plane Authorized Networks aktiviert ist. Wenn Master Authorized Networks deaktiviert ist, gibt der obige Befehl null zurück ({ }).

Wiederherstellung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie Kubernetes-Cluster aus, für die Control Plane Authorized Networks deaktiviert ist.
  3. Im Detailbereich, unter der Überschrift Netzwerk, klicken Sie auf das Stiftsymbol mit der Bezeichnung Steuerungsebene autorisierte Netzwerke bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen neben "Steuerungsebene autorisierte Netzwerke aktivieren".
  5. Klicken Sie auf ÄNDERUNGEN SPEICHERN.
Verwendung der Befehlszeile:
Um autorisierte Netzwerke der Steuerungsebene für einen bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --location <location> --
enable-master-authorized-networks
Zusätzlich können Sie autorisierte Netzwerke mit dem --master-authorized-networks-Flag auflisten, das eine Liste von bis zu 20 externen Netzwerken enthält, die über HTTPS mit der Steuerungsebene Ihres Clusters verbunden werden dürfen. Sie geben diese Netzwerke als kommagetrennte Liste von Adressen in CIDR-Notation an (wie 90.90.100.0/24).