Я нахожусь в процессе поддержки моего первого кластера EKS, когда один из моих коллег выразил обеспокоенность, что он может свернуть http://[internal NODE IP]:61678]/v1/enis и http://[internal NODE IP]:61678]/v1/pods и получить конфиденциальную информацию о кластере.
Его беспокоило то, что для получения всей информации пула ENI и IP-адресов всех модулей в кластере не требуется SSL или токен.
Когда я начал понимать, что это за APIи для того, чтобы мы могли включить какую-либо форму безопасности, чтобы заблокировать ее, меня привели к конечной точке самоанализа, используемой L-IPAMD из amazon-vpc-cni-k8s, которая распределяет IP-адреса для планирования модуля.
https://github.com/aws/amazon-vpc-cni-k8s/blob/master/ipamd/introspect.go
Запросы к этому API можно выполнять как внутри модуля, так и с любого другого компьютера в VPC.
Что можно сделать, чтобы обезопасить его?Есть ли опция для принудительного применения SSL или токена, который мне не хватает?