Questo argomento spiega come GKE su AWS gestisce le regole dei gruppi di sicurezza AWS per il cluster e come modificare le regole firewall per i pool di nodi e le repliche del piano di controllo.
Gruppi di sicurezza e DNS ospitato
Se utilizzi un server DNS ospitato anziché il DNS fornito da AWS, i gruppi di sicurezza del piano di controllo e del pool di nodi devono consentire il traffico in uscita sulla porta TCP e UDP 53.
Gruppi di sicurezza del piano di controllo
I gruppi di sicurezza del piano di controllo definiscono le regole firewall per il traffico TCP in entrata e in uscita per ogni replica del piano di controllo.
Il piano di controllo è costituito da tre istanze EC2 dietro un bilanciatore del carico di rete AWS (NLB). Queste istanze accettano connessioni da istanze etcd su altri nodi, nodi del pool di nodi e NLB. Le istanze del piano di controllo creano anche connessioni HTTPS in uscita ai servizi Google e AWS.
GKE su AWS crea e collega un gruppo di sicurezza del piano di controllo gestito a tutte le istanze del piano di controllo. Non modificare le regole di questo gruppo. Se devi aggiungere altre regole del gruppo di sicurezza, puoi specificare altri ID gruppo di sicurezza da collegare al piano di controllo quando crei un cluster.
Regole del gruppo di sicurezza del piano di controllo predefinite
Queste sono le regole predefinite che GKE su AWS collega al piano di controllo. Queste regole non corrisponderanno esattamente ai tuoi gruppi di sicurezza; ogni riga nella tabella potrebbe espandersi a più regole del gruppo di sicurezza AWS.
| Tipo | Protocollo | Port (Porta) | Intervalli di indirizzi o SG | Descrizione |
|---|---|---|---|---|
| In entrata | TCP (versione cluster < 1.26) | 443 | Intervallo CIDR primario VPC | Consenti HTTPS dai nodi del pool di nodi |
| In entrata | TCP (versione cluster >= 1.26) | 443 | Intervallo CIDR subnet del pool di nodi | Consenti HTTPS dai nodi del pool di nodi (una regola per subnet utilizzata dai pool di nodi) |
| In entrata | TCP | 2380 | SG piano di controllo | Consenti la replica etcd del piano di controllo |
| In entrata | TCP | 2381 | SG piano di controllo | Consenti la replica degli eventi etcd del piano di controllo |
| In entrata | TCP (versione cluster < 1.26) | 8132 | Intervallo CIDR primario VPC | Consenti connessioni Konnectivity da pool di nodi |
| In entrata | TCP (versione cluster >= 1.26) | 8132 | Intervallo CIDR subnet del pool di nodi | Consenti connessioni Konnectivity dai nodi del pool di nodi (una regola per subnet utilizzata dai pool di nodi) |
| In entrata | TCP | 11872 | Intervalli CIDR del piano di controllo | Controllo di integrità HTTP per il bilanciatore del carico |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita |
| In uscita | TCP | 2380 | SG piano di controllo | Consenti la replica etcd del piano di controllo |
| In uscita | TCP | 2381 | SG piano di controllo | Consenti la replica degli eventi etcd del piano di controllo |
Gruppi di sicurezza del pool di nodi
I gruppi di sicurezza del pool di nodi definiscono le regole firewall per il traffico TCP in entrata e in uscita per le VM nei pool di nodi.
GKE su AWS crea e collega un gruppo di sicurezza del pool di nodi gestito a tutte le istanze del pool di nodi. Non modificare le regole di questo gruppo. Se devi aggiungere altre regole del gruppo di sicurezza, puoi specificare altri ID gruppo di sicurezza da collegare alle istanze quando crei un pool di nodi.
Per impostazione predefinita, le VM dei pool di nodi non hanno porte aperte. Per consentire il traffico in entrata, aggiungi un gruppo di sicurezza del pool di nodi durante la creazione del pool di nodi e gestisci le eventuali regole in entrata/uscita per il pool di nodi attraverso il gruppo di sicurezza.
Regole del gruppo di sicurezza del pool di nodi predefinito
Queste sono le regole predefinite che GKE su AWS collega ai pool di nodi. Queste regole non corrisponderanno esattamente ai tuoi gruppi di sicurezza; ogni riga della tabella potrebbe espandersi a più regole del gruppo di sicurezza AWS.
| Tipo | Protocollo | Port (Porta) | Intervallo di indirizzi o SG | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | Tutti | SG del pool di nodi | Consenti la comunicazione tra pod |
| In uscita | TCP | Tutti | SG del pool di nodi | Consenti la comunicazione tra pod |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita |
| In uscita | TCP | 8132 | SG piano di controllo | Consenti connessioni Konnectivity al piano di controllo |
| In uscita | TCP | 8132 | Intervalli CIDR del piano di controllo | Consenti connessioni Konnectivity al piano di controllo |
Pool di nodi nei blocchi CIDR secondari VPC
GKE su AWS versione 1.26 e successive crea e gestisce automaticamente le regole del gruppo di sicurezza necessarie per supportare i pool di nodi utilizzando le subnet nei blocchi CIDR secondari dei VPC. Se utilizzi una di queste versioni, non è necessario creare gruppi di sicurezza personalizzati o aggiornarli manualmente.
Tuttavia, quando crei gruppi di sicurezza del piano di controllo gestito, le versioni precedenti di GKE su AWS non creano regole che supportano i pool di nodi con subnet in un blocco CIDR VPC secondario.
Per aggirare questa limitazione, crea un gruppo di sicurezza personalizzato per il tuo piano di controllo. Puoi passare l'ID gruppo di sicurezza durante la creazione di un cluster utilizzando il flag --security-group-ids. In alternativa, puoi aggiornare i gruppi di sicurezza del cluster.
Crea il gruppo di sicurezza con le regole seguenti:
| Tipo | Protocollo | Port (Porta) | Intervalli di indirizzi o SG | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 443 | Intervalli di pool di nodi (in blocchi CIDR secondari VPC) | Consenti HTTPS dai nodi del pool di nodi |
| In entrata | TCP | 8132 | Intervalli di pool di nodi (in blocchi CIDR secondari VPC) | Consenti connessioni Konnectivity da pool di nodi |