Aturan grup keamanan

Topik ini menjelaskan cara GKE di AWS mengelola aturan grup keamanan AWS untuk cluster, dan cara memodifikasi aturan firewall untuk kumpulan node dan replika bidang kontrol.

Grup keamanan dan DNS yang dihosting

Jika Anda menggunakan server DNS yang dihosting, dan bukan DNS yang disediakan AWS, grup keamanan bidang kontrol dan kumpulan node Anda harus mengizinkan traffic keluar di TCP dan UDP port 53.

Grup keamanan pesawat kontrol

Grup keamanan bidang kontrol menentukan aturan firewall untuk traffic TCP masuk dan keluar untuk setiap replika bidang kontrol.

Bidang kontrol terdiri dari tiga instance EC2 di belakang Load Balancer Jaringan AWS (NLB). Instance ini menerima koneksi dari instance etcd di node lain, node kumpulan node, dan NLB. Instance bidang kontrol juga membuat koneksi HTTPS keluar ke layanan Google dan AWS.

GKE di AWS membuat dan melampirkan grup keamanan bidang kontrol terkelola ke semua instance bidang kontrol. Anda tidak boleh mengubah aturan dalam grup ini. Jika perlu menambahkan aturan grup keamanan lainnya, Anda dapat menentukan ID grup keamanan tambahan untuk dipasang ke bidang kontrol saat Membuat cluster.

Aturan grup keamanan bidang kontrol default

Ini adalah aturan default yang disertakan GKE di AWS ke bidang kontrol. Aturan ini tidak akan sama persis dengan grup keamanan Anda; setiap baris dalam tabel dapat diperluas menjadi beberapa aturan grup keamanan AWS.

Jenis Protokol Port Rentang alamat IP atau SG Deskripsi
Masuk TCP (versi cluster < 1.26) 443 Rentang CIDR Utama VPC Mengizinkan HTTPS dari node kumpulan node
Masuk TCP (versi cluster >= 1.26) 443 Rentang CIDR subnet dari kumpulan node Izinkan HTTPS dari node kumpulan node (satu aturan per subnet yang digunakan oleh kumpulan node)
Masuk TCP 2380 Pesawat kontrol SG Izinkan replikasi etcd bidang kontrol
Masuk TCP 2381 Pesawat kontrol SG Izinkan replikasi peristiwa etcd bidang kontrol
Masuk TCP (versi cluster < 1.26) 8132 Rentang CIDR Utama VPC Mengizinkan koneksi Konnektivitas dari node pool
Masuk TCP (versi cluster >= 1.26) 8132 Rentang CIDR subnet dari kumpulan node Izinkan koneksi Konnektivitas dari node kumpulan node (satu aturan per subnet yang digunakan oleh kumpulan node)
Masuk TCP 11872 Rentang CIDR bidang kontrol Health check HTTP untuk load balancer
Keluar TCP 443 0.0.0.0/0 Mengizinkan HTTPS keluar
Keluar TCP 2380 Pesawat kontrol SG Izinkan replikasi etcd bidang kontrol
Keluar TCP 2381 Pesawat kontrol SG Izinkan replikasi peristiwa etcd bidang kontrol

Grup keamanan kumpulan node

Grup keamanan kumpulan node menentukan aturan firewall untuk traffic TCP masuk dan keluar untuk VM di kumpulan node.

GKE di AWS membuat dan melampirkan grup keamanan kumpulan node terkelola ke semua instance node pool. Anda tidak boleh mengubah aturan dalam grup ini. Jika perlu menambahkan aturan grup keamanan lainnya, Anda dapat menentukan ID grup keamanan tambahan untuk ditambahkan ke instance saat Membuat kumpulan node.

Secara default, VM kumpulan node tidak memiliki port yang terbuka. Untuk mengizinkan traffic masuk, Anda menambahkan grup keamanan kumpulan node saat membuat kumpulan node, dan mengelola aturan masuk/keluar yang diinginkan untuk kumpulan node melalui grup keamanan tersebut.

Aturan grup keamanan kumpulan node default

Ini adalah aturan default yang dipasang GKE di AWS ke kumpulan node. Aturan ini tidak akan sama persis dengan grup keamanan Anda; setiap baris dalam tabel dapat diperluas menjadi beberapa aturan grup keamanan AWS.

Jenis Protokol Port Rentang alamat IP atau SG Deskripsi
Masuk TCP Semua Kumpulan node SG Mengizinkan komunikasi pod-ke-pod
Keluar TCP Semua Kumpulan node SG Mengizinkan komunikasi pod-ke-pod
Keluar TCP 443 0.0.0.0/0 Mengizinkan HTTPS keluar
Keluar TCP 8132 Pesawat kontrol SG Izinkan koneksi Konnektivitas ke bidang kontrol
Keluar TCP 8132 Rentang CIDR bidang kontrol Izinkan koneksi Konnektivitas ke bidang kontrol

Kumpulan node dalam blok CIDR Sekunder VPC

GKE pada AWS versi 1.26 dan yang lebih baru akan otomatis membuat dan mengelola aturan grup keamanan yang diperlukan untuk mendukung kumpulan node menggunakan subnet dalam blok CIDR VPC sekunder. Jika menggunakan salah satu versi ini, Anda tidak perlu membuat grup keamanan kustom atau mengupdatenya secara manual.

Namun, saat membuat grup keamanan bidang kontrol terkelola, versi GKE yang lama di AWS tidak membuat aturan yang mendukung kumpulan node dengan subnet di blok CIDR VPC sekunder.

Untuk mengatasi batasan ini, buat grup keamanan khusus untuk bidang kontrol. Anda meneruskan ID grup keamanan saat membuat cluster menggunakan tanda --security-group-ids. Atau, Anda dapat Mengupdate grup keamanan cluster.

Buat grup keamanan dengan aturan berikut:

Jenis Protokol Port Rentang alamat IP atau SG Deskripsi
Masuk TCP 443 Rentang kumpulan node (dalam blok CIDR sekunder VPC) Mengizinkan HTTPS dari node kumpulan node
Masuk TCP 8132 Rentang kumpulan node (dalam blok CIDR sekunder VPC) Mengizinkan koneksi Konnektivitas dari node pool

Langkah selanjutnya