設定檔適用性:等級 1
私人節點是沒有公共 IP 位址的節點。關閉叢集節點的公共 IP 位址,使其僅具有私人 IP 位址。
停用叢集節點上的公共 IP 位址將限制僅能存取內部網路,迫使攻擊者在嘗試入侵底層 Kubernetes 主機之前,必須先獲得本地網路存取權。
 |
注意預設情況下,私人節點是停用的。
|
影響
要啟用私人節點,叢集還必須配置私人主機 IP 範圍並啟用 IP 別名。私人節點無法輸出訪問公共網路。如果您希望為您的私人節點提供輸出網路訪問,您可以使用 Cloud
NAT 或管理您自己的 NAT 閘道。
要從私有節點存取 Google Cloud APIs 和服務,必須在 Kubernetes 引擎叢集子網路上設定 Private Google Access。
稽核
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面。
- 選擇所需的叢集,並在詳細資訊窗格中,確保私人叢集設為已啟動。
使用命令列:
若要檢查現有叢集的私人節點狀態,首先定義三個變數:叢集名稱、位置資訊和專案,然後執行以下命令:
gcloud container clusters describe $CLUSTER_NAME --location $LOCATION -- project $PROJECT_ID --format json | jq '.privateClusterConfig.enablePrivateNodes'
如果已啟動私人節點,上述命令的輸出將返回
{ "enablePrivateNodes": true }。補救
一旦建立叢集時未啟用私有節點,則無法修復。必須重新建立叢集。
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面。
- 點擊建立叢集。
- 按需求配置叢集,然後在導航窗格中點擊叢集下的網路。
- 在 IPv4 網路存取下,點擊私人叢集單選按鈕。
- 根據需要配置其他設定,然後點擊建立。
使用命令列:
要建立已啟動私人節點的叢集,請在叢集建立命令中包含
--enable-private-nodes 標誌:gcloud container clusters create <cluster_name> --enable-private-nodes
設定此標誌還需要設定
--enable-ip-alias和--master-ipv4-cidr=<master_cidr_range>。