設定檔適用性:等級 1 - 叢集 / 控制平面
確保使用私人節點建立叢集,以透過停用叢集節點上的公共 IP 位址來增強安全性,從而限制它們僅使用私人 IP 位址。私人節點缺乏公共 IP,將節點的可訪問性限制在內部網路,因此攻擊者必須先獲得本地網路的存取權,才能嘗試攻擊
Kubernetes 主機。要有效實施私人節點,叢集還必須配置私人主 IP 範圍和 IP 別名。請注意,私人節點本身並不具備輸出至公共網路的存取權;為了實現此功能,可以使用雲端
NAT,或者您可以管理自己的 NAT 閘道,以提供這些節點的輸出網路存取權。
影響
要啟用私人節點,叢集還必須配置私人主 IP 範圍並啟用 IP 別名。
私人節點無法輸出至公共網路。如果您想為您的私人節點提供輸出網路存取,您可以使用雲端 NAT 或管理您自己的 NAT 閘道。
稽核
檢查以下項目是否為已啟動:true
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
檢查下列是否不為空:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
補救
aws eks update-cluster-config \
--region region-code \
--name my-cluster \
--resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true