Ansichten:
Profilanwendbarkeit: Stufe 2
Aktivieren Sie die autorisierten Netzwerke der Steuerungsebene, um den Zugriff auf die Steuerungsebene des Clusters auf eine Positivliste autorisierter IPs zu beschränken.
Autorisierte Netzwerke sind eine Möglichkeit, einen eingeschränkten Bereich von IP-Adressen festzulegen, die Zugriff auf die Steuerungsebene Ihres Clusters haben dürfen. Kubernetes Engine verwendet sowohl Transport Layer Security (TLS) als auch Authentifizierung, um sicheren Zugriff auf die Steuerungsebene Ihres Clusters aus dem öffentlichen Internet zu ermöglichen. Dies bietet Ihnen die Flexibilität, Ihren Cluster von überall aus zu verwalten; Sie möchten den Zugriff jedoch möglicherweise weiter auf einen Satz von IP-Adressen beschränken, die Sie kontrollieren. Sie können diese Einschränkung festlegen, indem Sie ein autorisiertes Netzwerk angeben.
Das Steuerungsebene-Autorisierte-Netzwerke sperrt nicht vertrauenswürdige IP-Adressen. Google Cloud Platform IPs (wie der Datenverkehr von Compute Engine VMs) können Ihren Master über HTTPS erreichen, vorausgesetzt, sie verfügen über die erforderlichen Kubernetes-Anmeldeinformationen.
Das Einschränken des Zugriffs auf ein autorisiertes Netzwerk kann zusätzliche Sicherheitsvorteile für Ihren Container-Cluster bieten, einschließlich:
  • Besserer Schutz vor externen Angriffen: Autorisierte Netzwerke bieten eine zusätzliche Sicherheitsebene, indem sie den externen, nicht-GCP-Zugriff auf einen bestimmten Satz von Adressen beschränken, die Sie festlegen, wie z. B. solche, die von Ihrem Standort stammen. Dies hilft, den Zugriff auf Ihren Cluster im Falle einer Sicherheitslücke im Authentifizierungs- oder Autorisierungsmechanismus des Clusters zu schützen.
  • Besserer Schutz vor Insiderangriffen: Autorisierte Netzwerke helfen, Ihren Cluster vor versehentlichem Verlust von Master-Zertifikaten aus den Räumlichkeiten Ihres Unternehmens zu schützen. Zertifikate, die außerhalb von GCP und außerhalb der autorisierten IP-Bereiche (zum Beispiel von Adressen außerhalb Ihres Unternehmens) verwendet werden, wird der Zugriff weiterhin verweigert.
Hinweis
Hinweis
Standardmäßig sind die autorisierten Netzwerke der Steuerungsebene deaktiviert.

Auswirkung

Beim Implementieren von Control Plane Authorized Networks sollten Sie darauf achten, dass alle gewünschten Netzwerke auf der Zulassungsliste stehen, um ein versehentliches Blockieren des externen Zugriffs auf die Steuerungsebene Ihres Clusters zu vermeiden.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie in der Liste der Cluster auf den Cluster, um die Detailseite zu öffnen.
  3. Stellen Sie sicher, dass die autorisierten Netzwerke des Masters auf Aktiviert eingestellt sind.
Verwendung der Befehlszeile:
Um den Status der Master Authorized Networks für ein bestehendes Cluster zu überprüfen, führen Sie den folgenden Befehl aus:
gcloud container clusters update $CLUSTER_NAME --zone $COMPUTE_ZONE 
--enable-master-authorized-networks
Die Ausgabe sollte Folgendes zurückgeben, wenn die autorisierten Netzwerke der Steuerungsebene aktiviert sind:
{ 
    "enabled": true 
}
Wenn Master Authorized Networks deaktiviert ist, gibt der obige Befehl null ({ }) zurück.

Wiederherstellung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie Kubernetes-Cluster aus, für die Control Plane Authorized Networks deaktiviert ist.
  3. Klicken Sie im Detailbereich unter der Überschrift Netzwerk auf das Stiftsymbol mit der Bezeichnung Steuerungsebene autorisierte Netzwerke bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen neben Steuerungsebene autorisierte Netzwerke aktivieren.
  5. Klicken Sie auf SAVE CHANGES.
Verwendung der Befehlszeile:
Um autorisierte Netzwerke der Steuerungsebene für einen bestehenden Cluster zu aktivieren, führen Sie den folgenden Befehl aus:
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--enable-master-authorized-networks
Zusätzlich können Sie autorisierte Netzwerke mit dem --master-authorized-networks-Flag auflisten, das eine Liste von bis zu 20 externen Netzwerken enthält, die über HTTPS mit der Steuerungsebene Ihres Clusters verbunden werden dürfen. Sie geben diese Netzwerke als kommagetrennte Liste von Adressen in CIDR-Notation an (wie 90.90.100.0/24).