プロファイル適用性: レベル2
コントロールプレーンの承認済みネットワークを有効にして、クラスターのコントロールプレーンへのアクセスを許可されたIPの許可リストのみに制限します。
認可ネットワークは、クラスターのコントロールプレーンにアクセスを許可するIPアドレスの制限範囲を指定する方法です。Kubernetes Engineは、トランスポート層セキュリティ
(TLS) と認証の両方を使用して、パブリックインターネットからクラスターのコントロールプレーンへの安全なアクセスを提供します。これにより、どこからでもクラスターを管理する柔軟性が得られますが、制御するIPアドレスのセットにアクセスをさらに制限したい場合があります。この制限は、認可ネットワークを指定することで設定できます。
コントロールプレーン認可ネットワークは信頼されていないIPアドレスをブロックします。Google Cloud PlatformのIP (Compute Engine
VMからのトラフィックなど) は、必要なKubernetes認証情報を持っている場合、HTTPSを通じてマスターにアクセスできます。
承認されたネットワークへのアクセスを制限することで、コンテナクラスターに追加のセキュリティメリットを提供できます。
- 外部からの攻撃に対するより良い保護: 認可されたネットワークは、外部の非GCPアクセスを指定した特定のアドレスに制限することで、追加のセキュリティ層を提供します。これには、あなたの施設から発信されるアドレスが含まれます。これにより、クラスターの認証または認可メカニズムに脆弱性がある場合に、クラスターへのアクセスを保護するのに役立ちます。
- 内部攻撃からのより良い保護: 認可されたネットワークは、会社の敷地内からのマスター証明書の偶発的な漏洩からクラスターを保護します。会社外のアドレスなど、GCP外および認可されたIP範囲外から使用された漏洩証明書は、依然としてアクセスが拒否されます。
![]() |
注意デフォルトでは、コントロールプレーン認可ネットワークは無効になっています。
|
影響
Control Plane Authorized Networksを実装する際には、クラスターのコントロールプレーンへの外部アクセスを誤ってブロックしないように、すべての希望するネットワークが許可リストに含まれていることを確認してください。
監査
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- クラスターの一覧から、クラスターをクリックして詳細ページを開きます。
- マスター認証ネットワークが[有効化]に設定されていることを確認してください。
コマンドラインの使用:
既存のクラスターのマスター認証ネットワークのステータスを確認するには、次のコマンドを実行してください。
gcloud container clusters update $CLUSTER_NAME --zone $COMPUTE_ZONE --enable-master-authorized-networks
Control Plane Authorized Networksが有効になっている場合、次の内容が返されるはずです:
{ "enabled": true }
Master Authorized Networksが無効になっている場合、上記のコマンドはnull (
{ }
) を返します。修復
Google Cloud Consoleを使用する:
- Kubernetes Engine のウェブサイトにアクセスしてください。
- Control Plane Authorized Networksが無効になっているKubernetesクラスターを選択してください。
- 詳細ペイン内のネットワーク見出しの下にある、コントロールプレーン承認済みネットワークを編集するという名前の鉛筆アイコンをクリックします。
- コントロールプレーン承認済みネットワークを有効にするの横のボックスをチェックしてください。
- [SAVE CHANGES]をクリックします。
コマンドラインの使用:
既存のクラスターに対してコントロールプレーン承認ネットワークを有効にするには、次のコマンドを実行します。
gcloud container clusters update <cluster_name> --zone <compute_zone> --enable-master-authorized-networks
これに加えて、
--master-authorized-networks
フラグを使用して、HTTPSを介してクラスターのコントロールプレーンに接続することが許可されている最大20の外部ネットワークのリストを指定できます。これらのネットワークは、CIDR表記
(例: 90.90.100.0/24
) でアドレスをカンマで区切ったリストとして提供します。