プロファイル適用性: レベル1
クラスター ノードのパブリックIPアドレスを無効にし、プライベートIPアドレスのみを持つようにします。プライベートノードとは、パブリックIPアドレスを持たないノードです。
クラスター ノードでパブリックIPアドレスを無効にすると、アクセスが内部ネットワークのみに制限され、攻撃者は基盤となるKubernetesホストを侵害しようとする前にローカルネットワークへのアクセスを取得する必要があります。
影響
プライベートノードを有効にするには、クラスターをプライベートマスターIP範囲およびIPエイリアシングが有効な状態で構成する必要があります。
プライベートノードはパブリックインターネットへのアウトバウンドアクセスを持っていません。プライベートノードにアウトバウンドインターネットアクセスを提供したい場合は、Cloud
NATを使用するか、独自のNATゲートウェイを管理することができます。
監査
次の項目が
'enabled: true'であることを確認してください:export CLUSTER_NAME=<your cluster name>
export RESOURCE_GROUP=<your resource group name>
az aks show --name ${CLUSTER_NAME} --resource-group ${RESOURCE_GROUP}
--query "apiServerAccessProfile.enablePrivateCluster"
修復
az aks create \ --resource-group <private-cluster-resource-group> \ --name <private-cluster-name> \ --load-balancer-sku standard \ --enable-private-cluster \ --network-plugin azure \ --vnet-subnet-id <subnet-id> \ --docker-bridge-address \ --dns-service-ip \ --service-cidr
--enable-private-clusterはプライベートクラスターの必須フラグです。