El 30 de abril, se lanzó una nueva versión de los clústeres de Anthos en AWS (GKE en AWS). Consulta las notas de la versión para obtener más información.

Grupos de seguridad para clústeres de Anthos en AWS

En este tema, se explican los grupos de seguridad de AWS (SG) que necesitas para los clústeres de Anthos en AWS (GKE en AWS).

Si instalas un servicio de administración o usas una VPC de AWS existente, anthos-gke crea grupos de seguridad para ti. Puedes configurar tus CRD de AWSCluster y AWSNodePool con una lista de ID de grupos de seguridad adicionales.

En el siguiente diagrama, se describe cómo los clústeres de Anthos en AWS usan grupos de seguridad para conectarse a los servicios de Google Cloud y AWS.

Diagrama de puertos y conexiones de clústeres de Anthos en los componentes de AWS para los servicios de Google Cloud y AWS.

Grupo de seguridad para servicios de administración

El grupo de seguridad del servicio de administración permite el acceso a la API del servicio de administración con HTTPS. Si tienes un Host de bastión configurado, se permite el tráfico de entrada del grupo de seguridad de bastión.

Si creas un clúster de Anthos en un entorno de AWS en una VPC de AWS existente, debes tener un grupo de seguridad que permita las siguientes conexiones.

Tipo Protocol Puerto Dirección Descripción
Entrante TCP 443 CIDR de VPC Permitir HTTPS desde la VPC de AWS.
Entrante TCP 22 Host de bastión SG Permitir túneles SSH desde el Host de bastión (incluido solo en la VPC dedicada)
Saliente TCP 80 0.0.0.0/0 Permitir HTTP saliente
Saliente TCP 443 0.0.0.0/0 Permitir HTTPS saliente

Acceso al dominio saliente

El servicio de administración requiere acceso saliente a los siguientes dominios.

  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • oauth2.googleapis.com
  • storage.googleapis.com
  • www.googleapis.com
  • gcr.io
  • k8s.gcr.io
  • EC2-REGION.ec2.archive.ubuntu.com

Reemplaza EC2-REGION por la región EC2 de AWS en la que se ejecuta la instalación de los clústeres de Anthos en AWS. Por ejemplo, us-west-1.ec2.archive.ubuntu.com/

Si usas Anthos Service Mesh con Prometheus y Kiali, debes permitir el acceso saliente desde los siguientes dominios:

  • docker.io
  • quay.io

Grupo de seguridad del host de bastión (opcional)

Usas las conexiones del grupo de seguridad del Host de bastión que permite que su grupo se conecte a tus clústeres de Anthos en el servicio de administración y los clústeres de usuario de AWS. Este grupo es opcional y solo se incluye si usas anthos-gke para crear un clúster de Anthos en una instalación de AWS en una VPC dedicada.

Tipo Protocol Puerto Dirección Descripción
Entrante TCP 22 Bloque CIDR de bastionAllowedSSHCIDRBlocks en la configuración AWSManagementService. Permitir SSH al Host de bastión.
Saliente TCP 22 0.0.0.0/0 Permitir SSH saliente.
Saliente TCP 80 0.0.0.0/0 Permitir HTTP saliente
Saliente TCP 443 0.0.0.0/0 Permitir HTTPS saliente

Grupo de seguridad del plano de control

El grupo de seguridad del plano de control permite conexiones entre nodos del plano de control y el servicio de administración.

El plano de control consta de tres instancias de EC2 detrás de un balanceador de cargas de red de AWS (NLB). Estas instancias aceptan conexiones de instancias de etcd en otros nodos, nodos de grupos de nodos y NLB. Para actualizar los clústeres de Anthos en los componentes de AWS, se permite todo el tráfico HTTP/HTTPS saliente.

Especifica los ID de grupo de seguridad en la definición de AWSCluster.

Tipo Protocol Puerto Dirección Descripción
Entrante TCP 2380 Este SG Permitir la replicación del plano de control etcd.
Entrante TCP 2381 Este SG Permitir la replicación de eventos etcd del plano de control.
Entrante TCP 443 Grupo de nodos SG Permitir HTTPS desde nodos de grupos de nodos.
Entrante TCP 443 Rango CIDR de VPC de AWS Permitir HTTPS desde el balanceador de cargas y el servicio de administración.
Entrante TCP 11872 Rango CIDR de VPC de AWS Verificación de estado HTTP para el balanceador de cargas.
Saliente TCP 22 Grupo de nodos SG Permitir túneles SSH para nodos de grupos de nodos.
Saliente TCP 80 0.0.0.0/0 Permitir HTTP saliente
Saliente TCP 443 0.0.0.0/0 Permitir HTTP saliente
Saliente TCP 2380 Este SG Permitir la replicación del plano de control etcd.
Saliente TCP 2381 Este SG Permitir la replicación de eventos etcd del plano de control.
Saliente TCP 10250 Grupo de nodos SG Permite conexiones del plano de control a Kubelet.

Grupo de seguridad del grupo de nodos

El grupo de seguridad del grupo de nodos permite conexiones desde el plano de control y otro nodo. Especifica los ID de grupos de seguridad en tus definiciones de AWSNodePool.

Tipo Protocol Puerto Dirección Descripción
Entrante TCP Todos Este SG Permite la comunicación entre pods.
Entrante TCP 22 Plano de control SG Permite conexiones SSH desde el plano de control.
Entrante TCP 443 Plano de control SG Permite conexiones del plano de control a Kubelet.
Entrante TCP 10250 Plano de control SG Permite conexiones del plano de control a Kubelet.
Saliente TCP Todos Este SG Permite la comunicación entre pods.
Saliente TCP 80 0.0.0.0/0 Permitir HTTP saliente
Saliente TCP 443 0.0.0.0/0 Permitir HTTPS saliente