GKE Cluster를 통제하는 제어 영역(Control Plane)은 보안 상 신뢰할 수 없는 IP 주소로 액세스 할 수 없게 차단할 필요가 있습니다.

Google Cloud에서는 승인된 네트워크를 사용하여 신뢰할 수 있는 지정된 IP 주소 범위로만 제어 영역에 액세스 할 수 있는 보안적 이점을 제공합니다.[1]


승인된 네트워크는 GKE Cluster 생성 시 추가하거나 기존 클러스터에 승인된 네트워크를 추가할 수 있습니다.


GCP Console > Kubernetes Engine > Clusters > Create > Cluster > Networking > Enable control plane authorized networks




Public Cluster에서 승인된 네트워크 CIDR 범위는 최대 50개 입니다.[2]


기존에 생성된 클러스터의 승인된 네트워크를 추가 혹은 삭제하거나 사용 중지 할 수 있습니다.

※ 단, Public Cluster 경우, 승인된 네트워크를 사용 중지 시 공개 인터넷을 통해 모든 IP 주소가 제어 영역의 엔드포인트로 연결 될 수 있습니다.[3]


GCP Console >Kubernetes Engine > Clusters >Edit > Networking > Control plane authorized networks 





[1] https://cloud.google.com/kubernetes-engine/docs/how-to/authorized-networks?hl=ko#overview

[2] https://cloud.google.com/kubernetes-engine/docs/how-to/authorized-networks?hl=ko#limitations

[3] https://cloud.google.com/kubernetes-engine/docs/how-to/authorized-networks?hl=ko#disable