我正在建立我的第一个EKS集群,当时我的一位同事表示担心他会卷曲http://[internal NODE IP]:61678]/v1/enis和http://[internal NODE IP]:61678]/v1/pods并接收有关该集群的敏感信息。
他担心的是,不需要任何SSL或令牌即可检索集群中所有ENI池信息和所有Pod的IP。
当我开始了解此api的用途以及是否可以启用某种形式的安全性以将其锁定时,我被引到L-IPAMD中amazon-vpc-cni-k8s使用的自省端点,该端点用于分配用于Pod调度的IP。
https://github.com/aws/amazon-vpc-cni-k8s/blob/master/ipamd/introspect.go
可以从Pod内部和VPC上的任何其他计算机上查询此API。
如何保护它?是否可以执行我所缺少的SSL或令牌?