設定檔適用性:等級 1 - 叢集 / 控制平面
啟用端點私人存取以限制對您叢集控制平面的存取僅限於授權的 IP 位址清單。此措施指定允許存取您叢集控制平面的 IP 位址範圍,結合傳輸層安全性 (TLS) 和驗證,保護從公共網路的存取。雖然
Kubernetes 引擎提供從任何地方管理您叢集的功能,您可能選擇進一步限制存取至您控制的特定 IP 位址。授權網路透過限制外部存取至指定位址來增強安全性,從而保護您的叢集免受潛在的外部攻擊,並通過防止即使主憑證意外洩漏到您組織外部也能防止內部威脅。設置端點私人存取時必須小心,將所有必要的
IP 位址包含在授權清單中,以避免無意中阻止合法存取叢集控制平面。
影響
在實施端點私有訪問時,請確保所有所需的網路都包含在允許清單中,以避免阻止訪問您叢集的控制平面。
稽核
檢查以下設定以確認它們是否為已啟動:true:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPublicAccess"
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
驗證以下內容不為空:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
補救措施
啟用私人端點存取,以確保您節點與 API 伺服器之間的所有通信都保持在您的 VPC 內。這也允許您限制從網路存取您 API 伺服器的 IP 位址,或完全關閉網路存取。
例如,使用以下命令啟用私人訪問和有限的公共訪問:
aws eks update-cluster-config --region $AWS_REGION --name $CLUSTER_NAME --resources-vpc-config endpointPrivateAccess=true, endpointPublicAccess=true, publicAccessCidrs="203.0.113.5/32"
注意:CIDR 區塊不能包含保留地址。請參閱 EKS 叢集端點文件以獲取詳細資訊。