# Kubernetes Whitelist IP ### **1\. Mô tả tổng quan tính năng** Tính năng cho phép người dùng (User) cấu hình danh sách IP được phép truy cập vào cụm Kubernetes thông qua Load Balancer (Ingress hoặc API Server), bằng cách định nghĩa danh sách IP (whitelist IP) tại thời điểm **tạo mới cluster** hoặc **cập nhật cấu hình mạng của cluster**. Tính năng này là phần mở rộng trong quá trình quản lý bảo mật mạng cho các cluster K8s trên nền tảng cloud. #### Mục tiêu: * Tăng tính **bảo mật** khi chỉ cho phép một số IP/dải IP nhất định có quyền truy cập vào cụm K8s. * Giúp **tuân thủ chính sách bảo mật nội bộ** (VD: chỉ cho phép IP trong VPN, nội bộ công ty hoặc địa chỉ IP văn phòng). * **Linh hoạt cấu hình** theo từng nhóm dự án, team dev hoặc mục đích sử dụng. ### Lợi ích chính * **Tăng cường bảo mật cấp mạng**: Chỉ cho phép truy cập từ IP được chỉ định. * **Ngăn chặn truy cập trái phép vào K8s API Server** từ Internet công cộng. * **Tuân thủ các yêu cầu bảo mật** trong doanh nghiệp (ví dụ: chỉ cho phép IP của VPN hoặc IP tĩnh từ trung tâm điều hành). * **Dễ dàng quản lý và mở rộng danh sách IP** trong trường hợp cần cấp quyền cho DevOps, CI/CD hoặc đối tác kỹ thuật. **Khi bật IP Whitelisting:** * Hệ thống tự động triển khai **bộ lọc IP firewall** trên lớp mạng (Network Layer), áp dụng cho endpoint public của Kubernetes API (thường tại cổng 443). * Chỉ các IP hoặc dải CIDR được liệt kê trong danh sách whitelist mới được phép kết nối đến API Server. * Mọi request từ IP không nằm trong whitelist sẽ bị **drop ngay tại lớp mạng**, trước khi đến được layer xác thực (Authn) của K8s. | Tham số cấu hình | Mô tả | | ---------------- | ----- | | Enable Whitelist | Bật/tắt tính năng IP Whitelisting | | IP White List | Danh sách IP hoặc CIDR được phép truy cập | | Support CIDR Format | Có – hỗ trợ x.x.x.x/y, ví dụ: 192.168.0.0/24 | | Update without downtime | Thay đổi danh sách IP không làm gián đoạn Cluster | | Default behavior | Nếu không có IP nào trong whitelist → **từ chối toàn bộ truy cập** | **Lợi ích bảo mật** | Mối đe dọa | Giải pháp qua IP Whitelist | | ---------- | -------------------------- | | Botnet quét API Server ngẫu nhiên | Bị chặn từ lớp mạng – không tiếp cận được API Server | | Rò rỉ kubeconfig qua nội bộ | Vô hiệu nếu kẻ xấu truy cập từ IP không nằm trong whitelist | | Truy cập từ bên thứ ba chưa kiểm soát | Không cấp quyền trừ khi có IP cụ thể trong whitelist | | Tuân thủ chuẩn bảo mật ISO, SOC2, v.v. | Đáp ứng yêu cầu về kiểm soát truy cập theo vùng mạng |