設定檔適用性:等級 1
私人節點是沒有公共 IP 位址的節點。關閉叢集節點的公共 IP 位址,使其僅具有私人 IP 位址。
將叢集節點上的公共IP位址停用,僅限於內部網路存取,迫使攻擊者在嘗試入侵基礎的Kubernetes主機之前,必須先獲得本地網路存取權。
 |
注意預設情況下,私人節點是停用的。
|
影響
要啟用私人節點,叢集還必須配置私人主 IP 範圍並啟用 IP 別名。
私人節點無法輸出至公共網路。如果您想為您的私人節點提供輸出網路存取,您可以使用雲端 NAT 或管理您自己的 NAT 閘道。
要從私人節點存取 Google 雲端 API 和服務,必須在 Kubernetes 引擎叢集子網路上設定私人 Google 存取。
稽核
使用 Google 雲端主控台:
- 前往 Kubernetes Engine 網站。
- 選擇所需的叢集,然後在詳細資訊窗格中,確保私人叢集設置為「已啟動」。
使用命令列:
執行此命令:
gcloud container clusters describe <cluster_name> --format json | jq '.privateClusterConfig.enablePrivateNodes'
上述命令的輸出會返回
true,如果私人節點已啟動。補救
一旦建立叢集時未啟用私人節點,則無法修復。必須重新建立叢集。
使用 Google 雲端主控台:
- 前往 Kubernetes Engine 網站。
- 點擊「CREATE CLUSTER」。
- 按需求配置叢集,然後在導航窗格中的叢集下點擊「Networking」。
- 在 IPv4 網路存取下,點擊私人叢集單選按鈕。
- 進行其他所需的設定,然後按一下「CREATE」。
使用命令列:
要建立已啟動私人節點的叢集,請在叢集建立命令中包含
--enable-private-nodes 標誌:gcloud container clusters create <cluster_name> --enable-private-nodes
設定此旗標也需要設定
--enable-ip-alias和--master-ipv4-cidr=<master_cidr_range>。