設定檔適用性:等級 1 - 叢集 / 控制平面
確保叢集使用私人節點來增強安全性,藉由停用叢集節點上的公用 IP 位址,從而將它們限制為僅使用私人 IP 位址。私人節點沒有公用 IP 位址,僅限於內部網路存取,因此攻擊者必須先取得本地網路的存取權,才能嘗試攻擊
Kubernetes 主機。為了有效實施私人節點,叢集還必須配置私人主 IP 範圍和 IP 別名。請注意,私人節點本身並沒有輸出至公用網路的存取權;為了實現這一點,可以使用雲端
NAT,或者您可以管理自己的 NAT 閘道,為這些節點提供輸出網路存取。
影響
要啟用私人節點,叢集還必須配置私人主 IP 範圍並啟用 IP 別名。
私人節點無法輸出訪問公共網路。如果您想為您的私人節點提供輸出網路訪問,您可以使用雲端 NAT 或管理您自己的 NAT 閘道。
稽核
檢查以下項目是否為已啟動:true
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
檢查以下是否不為空:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
補救措施
aws eks update-cluster-config \
--region region-code \
--name my-cluster \
--resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true