将 GKE 节点 IP 地址发布到互联网上是否不安全?
Is it insecure to publish GKE node IP addresses to the internet?
我想将我的节点 IP 发布到一个开放端点,以便我的 IDS 系统可以将所有集群节点 IP 列入白名单。
我只是想仔细检查一下您是否发现这样做有任何风险?
我想当我使用 GKE 时节点应该是安全的。
通常只有一个 DNS 指向的 Loadbalancer IP。
所以用ping命令我只能得到Loadbalancer IP。
有没有办法让攻击者获取节点ips?
你看到这里有一个大的安全问题吗?
为了优先考虑高价值的集群安全,最好保护节点IP地址不通过互联网访问。您应该限制将集群控制平面和节点暴露在互联网上。
要禁用对节点的直接互联网访问,请指定 gcloud 工具选项 --enable-private-nodes at cluster creation.This 告诉 GKE 为节点提供内部 IP 地址,这意味着节点不会直接访问可通过 public 互联网访问。
如果端点是可信且安全的,那么我们可以将其列入白名单。
直到并且除非没有端口可以打开该端点,否则可以将其列入白名单。
参考 Restrict network access to the control plane and nodes 了解信息。
您还可以使用屏蔽 GKE 节点,它提供强大的、可验证的节点身份和完整性来提高 Google Kubernetes Engine (GKE) 节点的安全性。
参考Using Shielded GKE nodes获取信息。
我想将我的节点 IP 发布到一个开放端点,以便我的 IDS 系统可以将所有集群节点 IP 列入白名单。 我只是想仔细检查一下您是否发现这样做有任何风险?
我想当我使用 GKE 时节点应该是安全的。 通常只有一个 DNS 指向的 Loadbalancer IP。 所以用ping命令我只能得到Loadbalancer IP。
有没有办法让攻击者获取节点ips? 你看到这里有一个大的安全问题吗?
为了优先考虑高价值的集群安全,最好保护节点IP地址不通过互联网访问。您应该限制将集群控制平面和节点暴露在互联网上。
要禁用对节点的直接互联网访问,请指定 gcloud 工具选项 --enable-private-nodes at cluster creation.This 告诉 GKE 为节点提供内部 IP 地址,这意味着节点不会直接访问可通过 public 互联网访问。
如果端点是可信且安全的,那么我们可以将其列入白名单。 直到并且除非没有端口可以打开该端点,否则可以将其列入白名单。
参考 Restrict network access to the control plane and nodes 了解信息。
您还可以使用屏蔽 GKE 节点,它提供强大的、可验证的节点身份和完整性来提高 Google Kubernetes Engine (GKE) 节点的安全性。
参考Using Shielded GKE nodes获取信息。