Ansichten:
Profilanwendbarkeit: Stufe 1
Private Nodes sind Knoten ohne öffentliche IP-Adressen. Deaktivieren Sie öffentliche IP-Adressen für Cluster-Knoten, sodass sie nur private IP-Adressen haben.
Das Deaktivieren öffentlicher IP-Adressen auf Clusterknoten beschränkt den Zugriff auf nur interne Netzwerke und zwingt Angreifer, zunächst lokalen Netzwerkzugang zu erlangen, bevor sie versuchen, die zugrunde liegenden Kubernetes-Hosts zu kompromittieren.
Hinweis
Hinweis
Standardmäßig sind Private Nodes deaktiviert.

Auswirkung

Um Private Nodes zu aktivieren, muss der Cluster auch mit einem privaten Master-IP-Bereich konfiguriert und IP-Aliasing aktiviert sein. Private Nodes haben keinen ausgehenden Zugriff auf das öffentliche Internet. Wenn Sie ausgehenden Internetzugang für Ihre privaten Nodes bereitstellen möchten, können Sie Cloud NAT verwenden oder Ihr eigenes NAT-Gateway verwalten.
Um auf Google Cloud APIs und Dienste von privaten Knoten zuzugreifen, muss Private Google Access auf Kubernetes Engine Cluster Subnetzen eingerichtet werden.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Wählen Sie den gewünschten Cluster aus, und stellen Sie im Detailbereich sicher, dass Private Clusters auf Aktiviert gesetzt ist.
Verwendung der Befehlszeile:
Um den Status der privaten Knoten für einen bestehenden Cluster zu überprüfen, definieren Sie zuerst 3 Variablen: Clustername, Standort und Projekt, und führen Sie dann den folgenden Befehl aus:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION --
project $PROJECT_ID --format json | jq '.privateClusterConfig.enablePrivateNodes'
Die Ausgabe des obigen Befehls gibt { "enablePrivateNodes": true } zurück, wenn Private Nodes aktiviert ist.

Wiederherstellung

Sobald ein Cluster ohne Aktivierung privater Knoten erstellt wurde, kann er nicht behoben werden. Stattdessen muss der Cluster neu erstellt werden.
Verwendung der Google Cloud Console:
  1. Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen.
  2. Klicken Sie auf CLUSTER ERSTELLEN.
  3. Konfigurieren Sie den Cluster wie erforderlich und klicken Sie dann im Navigationsbereich unter CLUSTER auf Netzwerk.
  4. Unter IPv4-Netzwerkzugriff klicken Sie auf die Option für das private Cluster.
  5. Konfigurieren Sie die anderen Einstellungen nach Bedarf und klicken Sie auf ERSTELLEN.
Verwendung der Befehlszeile:
Um einen Cluster mit aktivierten privaten Knoten zu erstellen, fügen Sie das --enable-private-nodes-Flag in den Cluster-Erstellungsbefehl ein:
gcloud container clusters create <cluster_name> --enable-private-nodes
Das Setzen dieser Flagge erfordert auch die Einstellung von --enable-ip-alias und --master-ipv4-cidr=<master_cidr_range>.