プロファイル適用性: レベル1
プライベートノードは、パブリックIPアドレスを持たないノードです。クラスターノードのパブリックIPアドレスを無効にし、プライベートIPアドレスのみを持つようにしてください。
クラスター ノードでパブリック IP アドレスを無効にすると、アクセスが内部ネットワークのみに制限され、攻撃者は基盤となる Kubernetes ホストを侵害しようとする前にローカル
ネットワーク アクセスを取得する必要があります。
 |
注意デフォルトでは、プライベートノードは無効になっています。
|
影響
プライベートノードを有効にするには、クラスターをプライベートマスターIP範囲とIPエイリアシングが有効な状態で構成する必要があります。
プライベートノードはパブリックインターネットへのアウトバウンドアクセスがありません。プライベートノードにアウトバウンドインターネットアクセスを提供したい場合は、Cloud
NATを使用するか、独自のNATゲートウェイを管理することができます。
プライベートノードからGoogle Cloud APIとサービスにアクセスするには、Kubernetes EngineクラスタサブネットでプライベートGoogleアクセスを設定する必要があります。
監査
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトに移動します。
- 希望するクラスターを選択し、詳細ペイン内でプライベートクラスターが[有効化]に設定されていることを確認してください。
コマンドラインの使用:
このコマンドを実行してください:
gcloud container clusters describe <cluster_name> --format json | jq '.privateClusterConfig.enablePrivateNodes'
上記のコマンドの出力は、プライベートノードが有効になっている場合に
trueを返します。修復
クラスターをプライベートノードを有効にせずに作成した場合、修正することはできません。代わりにクラスターを再作成する必要があります。
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトに移動します。
- [CREATE CLUSTER]をクリックします。
- 必要に応じてクラスターを構成し、ナビゲーションペインのCLUSTERの[Networking]をクリックしてください。
- IPv4ネットワークアクセスの下で、プライベートクラスターのラジオボタンをクリックします。
- 必要に応じて他の設定を構成し、[CREATE]をクリックします。
コマンドラインの使用:
プライベートノードを有効にしたクラスターを作成するには、クラスター作成コマンドに
--enable-private-nodesフラグを含めてください。gcloud container clusters create <cluster_name> --enable-private-nodes
このフラグを設定するには、
--enable-ip-aliasと--master-ipv4-cidr=<master_cidr_range>の設定も必要です。