設定檔適用性:級別 1
關閉叢集節點的公共 IP 位址,使其僅具有私人 IP 位址。私人節點是沒有公共 IP 位址的節點。
將叢集節點上的公共 IP 位址停用會限制僅能存取內部網路,迫使攻擊者在嘗試入侵基礎 Kubernetes 主機之前,必須先獲得本地網路存取權。
影響
要啟用私人節點,叢集還必須配置私人主 IP 範圍並啟用 IP 別名。
私人節點無法輸出訪問公共網路。如果您想為您的私人節點提供輸出網路訪問,您可以使用雲端 NAT 或管理您自己的 NAT 閘道。
稽核
檢查以下項目是否
'enabled: true':export CLUSTER_NAME=<your cluster name>
export RESOURCE_GROUP=<your resource group name>
az aks show --name ${CLUSTER_NAME} --resource-group ${RESOURCE_GROUP}
--query "apiServerAccessProfile.enablePrivateCluster"
矯正性處理
az aks create \ --resource-group <private-cluster-resource-group> \ --name <private-cluster-name> \ --load-balancer-sku standard \ --enable-private-cluster \ --network-plugin azure \ --vnet-subnet-id <subnet-id> \ --docker-bridge-address \ --dns-service-ip \ --service-cidr
其中
--enable-private-cluster 是私人叢集的必需標誌。