ビュー:
プロファイル適用性: レベル2
コントロールプレーン承認ネットワークを有効にして、クラスターのコントロールプレーンへのアクセスを許可されたIPの許可リストのみに制限します。
許可されたネットワークは、クラスターのコントロールプレーンにアクセスすることが許可されているIPアドレスの制限範囲を指定する方法です。Kubernetes Engineは、Transport Layer Security (TLS) と認証の両方を使用して、パブリックインターネットからクラスターのコントロールプレーンへの安全なアクセスを提供します。これにより、どこからでもクラスターを管理する柔軟性が得られますが、制御するIPアドレスのセットにアクセスをさらに制限したい場合があります。この制限は、許可されたネットワークを指定することで設定できます。
Control Plane Authorized Networksは信頼されていないIPアドレスをブロックします。Google Cloud PlatformのIP (Compute Engine VMからのトラフィックなど) は、必要なKubernetes認証情報を持っている場合、HTTPSを通じてマスターにアクセスできます。
許可されたネットワークへのアクセスを制限することで、コンテナクラスターに追加のセキュリティメリットを提供できます。
  • 外部からの攻撃に対するより良い保護: 認可されたネットワークは、外部の非GCPアクセスを指定した特定のアドレスに制限することで、セキュリティの追加層を提供します。これにより、クラスタの認証または認可メカニズムに脆弱性がある場合に、クラスタへのアクセスを保護するのに役立ちます。
  • 内部攻撃からのより良い保護: 認可されたネットワークは、会社の敷地内からのマスター証明書の偶発的な漏洩からクラスターを保護します。会社外のアドレスなど、GCP外および認可されたIP範囲外から使用された漏洩証明書は、依然としてアクセスが拒否されます。
注意
注意
デフォルトでは、コントロールプレーンの承認済みネットワークは無効になっています。

影響

コントロールプレーン認可ネットワークを実装する際は、クラスターのコントロールプレーンへの外部アクセスを誤ってブロックしないように、すべての希望するネットワークが許可リストに含まれていることを確認してください。

監査

Google Cloud Consoleを使用する
  1. Kubernetes Engine websiteに移動します。
  2. クラスタのリストから、詳細ページを開くためにクラスタをクリックしてください。
  3. マスター認証ネットワークが[有効]に設定されていることを確認してください。
コマンドラインを使用する:
既存のクラスターのマスター認証ネットワークのステータスを確認するには、次のコマンドを実行してください。
gcloud container clusters update $CLUSTER_NAME --zone $COMPUTE_ZONE 
--enable-master-authorized-networks
Control Plane Authorized Networksが有効になっている場合、次の内容が返される必要があります。
{ 
    "enabled": true 
}
Master Authorized Networksが無効になっている場合、上記のコマンドはnull ({ }) を返します。

修復

Google Cloud Consoleを使用する
  1. Kubernetes Engine websiteに移動します。
  2. Control Plane Authorized Networksが無効になっているKubernetesクラスターを選択してください。
  3. 詳細ペイン内のネットワークの見出しの下で、Edit control plane authorized networksという名前の鉛筆アイコンをクリックしてください。
  4. コントロールプレーン承認済みネットワークを有効にするの横のチェックボックスをオンにします。
  5. [SAVE CHANGES]をクリックします。
コマンドラインを使用する:
既存のクラスターでコントロールプレーン認可ネットワークを有効にするには、次のコマンドを実行してください。
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--enable-master-authorized-networks
これに加えて、--master-authorized-networksフラグを使用して、HTTPSを介してクラスターのコントロールプレーンに接続することが許可されている最大20の外部ネットワークのリストを含む、承認されたネットワークを一覧表示できます。これらのネットワークは、CIDR表記のアドレスをコンマで区切ったリストとして提供します (例: 90.90.100.0/24)。