設定檔適用性:等級 2
啟用控制平面授權網路,以限制對叢集控制平面的存取僅限於授權 IP 的允許清單。
授權網路是一種指定允許存取您叢集控制平面的 IP 位址範圍的方法。Kubernetes 引擎使用傳輸層安全性 (TLS) 和驗證來提供從公共網路安全存取您叢集的控制平面。這使您能夠從任何地方管理您的叢集;然而,您可能希望進一步限制存取至您控制的一組
IP 位址。您可以透過指定授權網路來設定此限制。
控制平面授權網路會阻擋不受信任的 IP 位址。Google 雲端平台的 IP(例如來自 Compute Engine VM 的流量)可以透過 HTTPS 連接到您的主伺服器,前提是它們擁有必要的
Kubernetes 憑證。
限制對授權網路的存取可以為您的容器叢集提供額外的安全效益,包括:
- 更好的防範外部攻擊:授權網路透過限制外部、非 GCP 存取至您指定的一組地址(例如來自您場地的地址),提供額外的安全層。這有助於在叢集的驗證或授權機制出現弱點時,保護對您叢集的存取。
- 更好的內部攻擊防護:授權網路有助於保護您的叢集,防止公司內部的主憑證意外洩漏。從 GCP 外部和授權 IP 範圍外(例如,來自公司外部的地址)使用的洩漏憑證仍然會被拒絕訪問。
 |
注意預設情況下,控制平面授權網路是停用的。
|
影響
在實施控制平面授權網路時,請小心確保所有所需的網路都在允許清單上,以防止意外阻止外部訪問您叢集的控制平面。
稽核
使用 Google 雲端主控台:
- 前往 Kubernetes Engine 網站。
- 從叢集列表中,點擊叢集以開啟詳細資料頁面。
- 確保主控授權網路設定為「已啟動」。
使用命令列:
若要檢查現有叢集的主授權網路狀態,請執行以下命令:
gcloud container clusters update $CLUSTER_NAME --zone $COMPUTE_ZONE --enable-master-authorized-networks
如果控制平面授權網路已啟動,則輸出應返回以下內容:
{
"enabled": true
}
如果停用主授權網路,則上述命令將返回 null (
{ })。補救
使用 Google 雲端主控台:
- 前往 Kubernetes Engine 網站。
- 選擇已停用控制平面授權網路的 Kubernetes 叢集。
- 在詳細資料窗格中,於網路標題下,點擊名為編輯控制平面授權網路的鉛筆圖示。
- 勾選旁邊的方框以啟用控制平面授權網路。
- 點擊「SAVE CHANGES」。
使用命令列:
若要為現有叢集啟用控制平面授權網路,請執行以下命令:
gcloud container clusters update <cluster_name> --zone <compute_zone> --enable-master-authorized-networks
除此之外,您可以使用
--master-authorized-networks 標誌列出授權網路,其中包含最多 20 個允許通過 HTTPS 連接到您叢集控制平面的外部網路。您可以將這些網路以 CIDR 表示法的逗號分隔地址列表形式提供(例如
90.90.100.0/24)。