Halaman ini menjelaskan cara kerja isolasi jaringan dan kontrol akses untuk bidang kontrol cluster dan node cluster Google Kubernetes Engine (GKE). Halaman ini menggantikan halaman yang menjelaskan konsep cluster pribadi.
Ada dua aspek yang perlu dipertimbangkan saat memutuskan cara mengonfigurasi isolasi jaringan:
- Akses bidang kontrol yang terkait dengan siapa yang dapat mengakses bidang kontrol cluster.
- Jaringan cluster yang berkaitan dengan mengisolasi node.
Halaman ini menunjukkan cara mengontrol dan menyesuaikan siapa yang dapat mengakses bidang kontrol dan node cluster (di cluster Standard) atau workload (di cluster Autopilot). Penyesuaian ini relevan saat Anda memutuskan konfigurasi jaringan untuk cluster. Untuk langsung menentukan konfigurasi jaringan, lihat Menyesuaikan isolasi jaringan.
Rencanakan dan desain konfigurasi isolasi jaringan Anda dengan Arsitek jaringan, Engineer jaringan, Administrator jaringan, atau tim lain di organisasi Anda yang bertanggung jawab atas definisi, penerapan, dan pemeliharaan arsitektur jaringan.
Akses bidang kontrol
Di bagian ini, Anda akan mempertimbangkan siapa yang dapat mengakses bidang kontrol Anda.
Setiap cluster GKE memiliki bidang kontrol yang menangani permintaan Kubernetes API. Bidang kontrol berjalan di virtual machine (VM) yang berada di jaringan VPC dalam project yang dikelola Google. Cluster regional memiliki beberapa replika bidang kontrol, yang masing-masing berjalan di VM-nya sendiri.
Bidang kontrol memiliki dua jenis endpoint untuk akses cluster:
- Endpoint berbasis DNS
- Endpoint berbasis IP
Hanya gunakan endpoint berbasis DNS untuk mengakses bidang kontrol Anda guna mendapatkan konfigurasi yang disederhanakan dan lapisan keamanan yang fleksibel dan berbasis kebijakan.
Endpoint berbasis DNS
Endpoint berbasis DNS memberikan DNS unik atau nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk setiap bidang kontrol cluster. Nama DNS ini dapat digunakan untuk mengakses platform kontrol Anda. Nama DNS di-resolve ke endpoint yang dapat diakses dari jaringan apa pun yang dapat dijangkau oleh Google Cloud API, termasuk jaringan lokal atau cloud lainnya. Mengaktifkan endpoint berbasis DNS menghilangkan kebutuhan akan bastion host atau node proxy untuk mengakses platform kontrol dari jaringan VPC lain atau lokasi eksternal.
Untuk mengakses endpoint bidang kontrol, Anda perlu mengonfigurasi peran dan kebijakan IAM, serta token autentikasi. Untuk mengetahui detail selengkapnya tentang izin yang diperlukan, lihat Menyesuaikan isolasi jaringan.
Selain kebijakan dan token IAM, Anda juga dapat mengonfigurasi kontrol berbasis IP atau jaringan dengan Kontrol Layanan VPC untuk mengamankan akses ke bidang kontrol. Kontrol Layanan VPC menambahkan lapisan keamanan akses lain dengan akses kontekstual berdasarkan atribut seperti asal jaringan. Kontrol Layanan VPC memungkinkan Anda mengonfigurasi jaringan mana yang dapat mengakses endpoint DNS. Menggunakan kebijakan IAM dan Kontrol Layanan VPC untuk mengamankan akses ke endpoint berbasis DNS akan memberikan model keamanan multi-lapis untuk control plane cluster Anda. Kontrol Layanan VPC digunakan oleh semua Google Cloud API, yang menyelaraskan konfigurasi keamanan cluster dengan data yang dihosting di semua Google Cloud API lainnya.
Endpoint berbasis IP
Secara opsional, Anda juga dapat mengonfigurasi akses ke bidang kontrol menggunakan endpoint berbasis IP.
Terminologi yang terkait dengan cluster dan alamat IP
Alamat IP eksternal Google Cloud:
Alamat IP eksternal yang ditetapkan ke VM apa pun yang digunakan oleh pelanggan yang dihosting di Google Cloud. Google Cloud adalah pemilik alamat IP ini. Untuk mempelajari lebih lanjut, lihat Di mana saya dapat menemukan rentang IP Compute Engine?
Alamat IP eksternal yang digunakan oleh produk Google Cloud seperti Cloud Run atau fungsi Cloud Run. Klien apa pun yang dihosting di Google Cloud dapat membuat instance alamat IP ini. Google Cloud adalah pemilik alamat IP ini.
Alamat IP yang dicadangkan Google: Alamat IP eksternal untuk tujuan pengelolaan cluster GKE. Alamat IP ini mencakup proses yang dikelola GKE dan layanan produksi Google lainnya. Google adalah pemilik alamat IP ini.
Rentang alamat IP cluster GKE: Alamat IP internal yang ditetapkan ke cluster yang digunakan GKE untuk node, Pod, dan Layanan cluster.
Alamat IP internal: Alamat IP dari jaringan VPC cluster Anda. Alamat IP ini dapat mencakup alamat IP cluster Anda, jaringan lokal, rentang RFC 1918, atau alamat IP publik (PUPI) yang digunakan secara pribadi, yang mencakup rentang non-RFC 1918.
Endpoint eksternal: Alamat IP eksternal yang ditetapkan GKE ke bidang kontrol.
Endpoint internal: Alamat IP internal yang ditetapkan GKE ke bidang kontrol.
Jaringan VPC: Jaringan virtual tempat Anda membuat subnet dengan rentang alamat IP khusus untuk node dan Pod cluster.
Saat menggunakan endpoint berbasis IP, Anda memiliki dua opsi:
Tampilkan bidang kontrol di endpoint eksternal dan internal. Artinya, endpoint eksternal bidang kontrol dapat diakses dari alamat IP eksternal, dan endpoint internal dapat diakses dari jaringan VPC cluster Anda. Node akan berkomunikasi dengan bidang kontrol hanya di endpoint internal.
Ekspos panel kontrol hanya di endpoint internal. Artinya, klien di internet tidak dapat terhubung ke cluster dan panel kontrol dapat diakses dari alamat IP mana pun dari jaringan VPC cluster Anda. Node hanya akan berkomunikasi dengan bidang kontrol di endpoint internal.
Ini adalah opsi yang paling aman saat menggunakan endpoint berbasis IP karena mencegah semua akses internet ke bidang kontrol. Ini adalah pilihan yang tepat jika Anda memiliki workload yang—misalnya—memerlukan akses terkontrol karena peraturan keamanan dan privasi data.
Pada kedua opsi sebelumnya, Anda dapat membatasi alamat IP yang menjangkau endpoint dengan mengonfigurasi jaringan yang diizinkan. Jika Anda menggunakan endpoint berbasis IP, sebaiknya tambahkan setidaknya satu jaringan yang diotorisasi. Jaringan yang diizinkan memberikan akses bidang kontrol ke kumpulan alamat IPv4 tepercaya tertentu, serta memberikan perlindungan dan manfaat keamanan tambahan untuk cluster GKE Anda.
Aktifkan jaringan yang diizinkan saat menggunakan endpoint berbasis IP untuk mengamankan cluster GKE Anda.
Cara kerja jaringan yang diizinkan
Jaringan yang diizinkan menyediakan firewall berbasis IP yang mengontrol akses ke bidang kontrol GKE. Akses ke bidang kontrol bergantung pada alamat IP sumber. Saat mengaktifkan jaringan yang diizinkan, Anda mengonfigurasi alamat IP yang ingin Anda izinkan untuk mengakses endpoint bidang kontrol cluster GKE sebagai daftar blok CIDR.
Tabel berikut menunjukkan:
- Alamat IP preset yang selalu dapat mengakses bidang kontrol GKE, terlepas dari apakah Anda mengaktifkan jaringan yang diizinkan.
- Alamat IP yang dapat dikonfigurasi dan dapat mengakses bidang kontrol jika Anda mengizinkannya dengan mengaktifkan jaringan yang diizinkan.
Endpoint bidang kontrol | Alamat IP preset yang dapat selalu mengakses endpoint | Alamat IP yang dapat dikonfigurasi yang dapat mengakses endpoint setelah mengaktifkan jaringan yang diizinkan |
---|---|---|
Endpoint eksternal dan internal diaktifkan |
|
|
Hanya endpoint internal yang diaktifkan |
|
|
Dengan jaringan yang diizinkan, Anda juga dapat mengonfigurasi region tempat alamat IP internal dapat menjangkau endpoint internal bidang kontrol. Anda dapat memilih untuk mengizinkan akses hanya dari jaringan VPC cluster, atau dari region Google Cloud mana pun di lingkungan VPC atau lokal.
Batasan penggunaan endpoint berbasis IP
- Jika memperluas subnet yang digunakan oleh cluster dengan jaringan yang diizinkan, Anda harus memperbarui konfigurasi jaringan yang diizinkan untuk menyertakan rentang alamat IP yang diperluas.
- Jika Anda memiliki klien yang terhubung dari jaringan dengan alamat IP dinamis, seperti karyawan di jaringan rumah, Anda harus sering memperbarui daftar jaringan yang diizinkan untuk mempertahankan akses ke cluster.
- Menonaktifkan akses ke endpoint eksternal bidang kontrol akan mencegah Anda berinteraksi dengan cluster dari jarak jauh. Jika perlu mengakses cluster dari jarak jauh, Anda harus menggunakan bastion host yang meneruskan traffic klien ke cluster. Sebaliknya, penggunaan endpoint berbasis DNS hanya memerlukan penyiapan izin IAM.
- Endpoint berbasis IP tidak terintegrasi langsung dengan Kontrol Layanan VPC. Kontrol Layanan VPC beroperasi di tingkat perimeter layanan untuk mengontrol akses dan pergerakan data dalam Google Cloud. Sebaiknya gunakan endpoint berbasis DNS dengan Kontrol Layanan VPC untuk pertahanan keamanan yang andal.
- Anda dapat menentukan hingga 100 rentang alamat IP yang diizinkan (termasuk alamat IP eksternal dan internal).
Akses jaringan cluster
Bagian ini membahas isolasi node dalam cluster Kubernetes.
Mengaktifkan node pribadi
Cegah klien eksternal mengakses node dengan menyediakan node tersebut hanya dengan alamat IP internal, sehingga node menjadi pribadi. Workload yang berjalan di node tanpa alamat IP eksternal tidak dapat menjangkau internet kecuali jika NAT diaktifkan di jaringan cluster. Anda dapat mengubah setelan ini kapan saja.
Anda dapat mengaktifkan node pribadi di tingkat cluster individual atau di tingkat node pool (untuk Standard) atau workload (untuk Autopilot). Mengaktifkan node pribadi di tingkat node pool atau workload akan menggantikan konfigurasi node apa pun di tingkat cluster.
Jika Anda mengupdate node pool publik ke mode pribadi, workload yang memerlukan akses di luar jaringan cluster mungkin akan gagal dalam skenario berikut:
Cluster di jaringan VPC Bersama yang tidak mengaktifkan Akses Google Pribadi. Aktifkan Akses Google Pribadi secara manual untuk memastikan GKE mendownload image node yang ditetapkan. Untuk cluster yang tidak berada dalam jaringan VPC Bersama, GKE secara otomatis mengaktifkan Akses Google Pribadi.
Workload yang memerlukan akses ke internet tempat Cloud NAT tidak diaktifkan atau solusi NAT kustom tidak ditentukan. Untuk mengizinkan traffic keluar ke internet, aktifkan Cloud NAT atau solusi NAT kustom.
Baik Anda mengaktifkan node pribadi maupun tidak, bidang kontrol masih berkomunikasi dengan semua node hanya melalui alamat IP internal.
Manfaat isolasi jaringan
Berikut adalah manfaat isolasi jaringan:
Fleksibilitas:
- Cluster memiliki konfigurasi yang terpadu dan fleksibel. Cluster dengan atau tanpa endpoint eksternal memiliki arsitektur yang sama dan mendukung fungsi yang sama. Anda dapat mengamankan akses berdasarkan kontrol dan praktik terbaik yang memenuhi kebutuhan Anda. Semua komunikasi antara node di cluster Anda dan bidang kontrol menggunakan alamat IP internal.
- Anda dapat mengubah akses panel kontrol dan setelan konfigurasi node cluster kapan saja tanpa harus membuat ulang cluster.
- Anda dapat memilih untuk mengaktifkan endpoint eksternal bidang kontrol jika Anda perlu mengelola cluster dari lokasi mana pun dengan akses internet, atau dari jaringan atau perangkat yang tidak terhubung langsung dengan VPC Anda. Atau, Anda dapat menonaktifkan endpoint eksternal untuk keamanan yang lebih baik jika perlu mempertahankan isolasi jaringan untuk workload sensitif. Dalam kedua kasus tersebut, Anda dapat menggunakan jaringan yang diizinkan untuk membatasi akses ke rentang IP yang tepercaya.
Keamanan:
- Endpoint berbasis DNS dengan Kontrol Layanan VPC memberikan model keamanan multi-lapis yang melindungi cluster Anda dari jaringan yang tidak sah serta identitas yang tidak sah yang mengakses bidang kontrol. Kontrol Layanan VPC terintegrasi dengan Cloud Audit Logs untuk memantau akses ke bidang kontrol.
- Node pribadi, dan workload yang berjalan di node ini, tidak dapat diakses secara langsung dari internet publik, sehingga secara signifikan mengurangi potensi serangan eksternal pada cluster Anda.
- Anda dapat memblokir akses panel kontrol dari alamat IP eksternal Google Cloud atau dari alamat IP eksternal untuk sepenuhnya mengisolasi bidang kontrol cluster dan mengurangi eksposur terhadap potensi ancaman keamanan.
Kepatuhan: Jika Anda bekerja di industri dengan peraturan ketat untuk akses dan penyimpanan data, node pribadi akan membantu kepatuhan dengan memastikan bahwa data sensitif tetap berada dalam jaringan pribadi Anda.
Kontrol: Node pribadi memberi Anda kontrol terperinci atas cara traffic mengalir masuk dan keluar dari cluster. Anda dapat mengonfigurasi aturan firewall dan kebijakan jaringan agar hanya mengizinkan komunikasi yang diotorisasi. Jika Anda beroperasi di seluruh lingkungan multi-cloud, node pribadi dapat membantu Anda membangun komunikasi yang aman dan terkontrol antar-lingkungan yang berbeda.
Biaya: Dengan mengaktifkan node pribadi, Anda dapat mengurangi biaya untuk node yang tidak memerlukan alamat IP eksternal untuk mengakses layanan publik di internet.
Langkah selanjutnya
- Pelajari cara Menyesuaikan isolasi jaringan.
- Pelajari Private Service Connect.