ビュー:
プロファイル適用性: レベル2
コントロールプレーンの承認済みネットワークを有効にして、クラスターのコントロールプレーンへのアクセスを許可されたIPの許可リストのみに制限します。
認可ネットワークは、クラスターのコントロールプレーンにアクセスを許可するIPアドレスの制限範囲を指定する方法です。Kubernetes Engineは、トランスポート層セキュリティ (TLS) と認証の両方を使用して、パブリックインターネットからクラスターのコントロールプレーンへの安全なアクセスを提供します。これにより、どこからでもクラスターを管理する柔軟性が得られますが、制御するIPアドレスのセットにアクセスをさらに制限したい場合があります。この制限は、認可ネットワークを指定することで設定できます。
コントロールプレーン認可ネットワークは信頼されていないIPアドレスをブロックします。Google Cloud PlatformのIP (Compute Engine VMからのトラフィックなど) は、必要なKubernetes認証情報を持っている場合、HTTPSを通じてマスターにアクセスできます。
承認されたネットワークへのアクセスを制限することで、コンテナクラスターに追加のセキュリティメリットを提供できます。
  • 外部からの攻撃に対するより良い保護: 認可されたネットワークは、外部の非GCPアクセスを指定した特定のアドレスに制限することで、追加のセキュリティ層を提供します。これには、あなたの施設から発信されるアドレスが含まれます。これにより、クラスターの認証または認可メカニズムに脆弱性がある場合に、クラスターへのアクセスを保護するのに役立ちます。
  • 内部攻撃からのより良い保護: 認可されたネットワークは、会社の敷地内からのマスター証明書の偶発的な漏洩からクラスターを保護します。会社外のアドレスなど、GCP外および認可されたIP範囲外から使用された漏洩証明書は、依然としてアクセスが拒否されます。
注意
注意
デフォルトでは、コントロールプレーン認可ネットワークは無効になっています。

影響

Control Plane Authorized Networksを実装する際には、クラスターのコントロールプレーンへの外部アクセスを誤ってブロックしないように、すべての希望するネットワークが許可リストに含まれていることを確認してください。

監査

Google Cloud Consoleを使用する:
  1. Kubernetes Engine のウェブサイトにアクセスしてください。
  2. クラスターの一覧から、クラスターをクリックして詳細ページを開きます。
  3. マスター認証ネットワークが[有効化]に設定されていることを確認してください。
コマンドラインの使用:
既存のクラスターのマスター認証ネットワークのステータスを確認するには、次のコマンドを実行してください。
gcloud container clusters update $CLUSTER_NAME --zone $COMPUTE_ZONE 
--enable-master-authorized-networks
Control Plane Authorized Networksが有効になっている場合、次の内容が返されるはずです:
{ 
    "enabled": true 
}
Master Authorized Networksが無効になっている場合、上記のコマンドはnull ({ }) を返します。

修復

Google Cloud Consoleを使用する:
  1. Kubernetes Engine のウェブサイトにアクセスしてください。
  2. Control Plane Authorized Networksが無効になっているKubernetesクラスターを選択してください。
  3. 詳細ペイン内のネットワーク見出しの下にある、コントロールプレーン承認済みネットワークを編集するという名前の鉛筆アイコンをクリックします。
  4. コントロールプレーン承認済みネットワークを有効にするの横のボックスをチェックしてください。
  5. [SAVE CHANGES]をクリックします。
コマンドラインの使用:
既存のクラスターに対してコントロールプレーン承認ネットワークを有効にするには、次のコマンドを実行します。
gcloud container clusters update <cluster_name> --zone <compute_zone> 
--enable-master-authorized-networks
これに加えて、--master-authorized-networksフラグを使用して、HTTPSを介してクラスターのコントロールプレーンに接続することが許可されている最大20の外部ネットワークのリストを指定できます。これらのネットワークは、CIDR表記 (例: 90.90.100.0/24) でアドレスをカンマで区切ったリストとして提供します。