Ansichten:
Profilanwendbarkeit: Stufe 1
Private Nodes sind Knoten ohne öffentliche IP-Adressen. Deaktivieren Sie öffentliche IP-Adressen für Clusterknoten, damit sie nur private IP-Adressen haben.
Das Deaktivieren öffentlicher IP-Adressen auf Clusterknoten beschränkt den Zugriff auf nur interne Netzwerke und zwingt Angreifer, zunächst Zugriff auf das lokale Netzwerk zu erlangen, bevor sie versuchen, die zugrunde liegenden Kubernetes-Hosts zu kompromittieren.
Hinweis
Hinweis
Standardmäßig sind Private Nodes deaktiviert.

Auswirkung

Um Private Nodes zu aktivieren, muss der Cluster auch mit einem privaten Master-IP-Bereich konfiguriert und IP-Aliasing aktiviert sein.
Private Nodes haben keinen ausgehenden Zugriff auf das öffentliche Internet. Wenn Sie ausgehenden Internetzugriff für Ihre privaten Nodes bereitstellen möchten, können Sie Cloud NAT verwenden oder Ihr eigenes NAT-Gateway verwalten.
Um auf Google Cloud APIs und -Dienste von privaten Knoten aus zuzugreifen, muss der Private Google Access auf Kubernetes Engine Cluster-Subnetzen eingerichtet werden.

Prüfung

Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Wählen Sie den gewünschten Cluster aus, und stellen Sie im Detailbereich sicher, dass Private Clusters auf Aktiviert eingestellt ist.
Verwendung der Befehlszeile:
Führen Sie diesen Befehl aus:
gcloud container clusters describe <cluster_name> --format json | 
jq '.privateClusterConfig.enablePrivateNodes'
Die Ausgabe des obigen Befehls gibt true zurück, wenn Private Nodes aktiviert ist.

Wiederherstellung

Sobald ein Cluster ohne Aktivierung privater Knoten erstellt wurde, kann es nicht behoben werden. Stattdessen muss das Cluster neu erstellt werden.
Verwendung der Google Cloud Console:
  1. Gehen Sie zur Kubernetes Engine-Website.
  2. Klicken Sie auf CREATE CLUSTER.
  3. Konfigurieren Sie den Cluster wie erforderlich und klicken Sie dann im Navigationsbereich unter CLUSTER auf Networking.
  4. Unter IPv4-Netzwerkzugriff klicken Sie auf die Option "Privates Cluster".
  5. Konfigurieren Sie die anderen Einstellungen nach Bedarf und klicken Sie auf CREATE.
Verwendung der Befehlszeile:
Um einen Cluster mit aktivierten privaten Knoten zu erstellen, fügen Sie das --enable-private-nodes-Flag in den Cluster-Erstellungsbefehl ein:
gcloud container clusters create <cluster_name> --enable-private-nodes
Das Setzen dieser Flagge erfordert auch das Setzen von --enable-ip-alias und --master-ipv4-cidr=<master_cidr_range>.