Este tópico explica como o GKE on AWS gere as regras dos grupos de segurança da AWS para o cluster e como modificar as regras da firewall para pools de nós e réplicas do plano de controlo.
Grupos de segurança e DNS alojado
Se usar um servidor DNS alojado em vez do DNS fornecido pela AWS, os grupos de segurança do plano de controlo e do conjunto de nós têm de permitir o tráfego de saída na porta TCP e UDP 53.
Grupos de segurança do plano de controlo
Os grupos de segurança do plano de controlo definem as regras de firewall para o tráfego TCP recebido e enviado para cada réplica do plano de controlo.
O plano de controlo consiste em três instâncias do EC2 atrás de um balanceador de carga de rede da AWS (NLB). Estas instâncias aceitam ligações de instâncias etcd noutros nós, nós do conjunto de nós e o NLB. As instâncias do plano de controlo também estabelecem ligações HTTPS de saída aos serviços Google e AWS.
O GKE on AWS cria e anexa um grupo de segurança do plano de controlo gerido a todas as instâncias do plano de controlo. Não deve modificar as regras neste grupo. Se precisar de adicionar mais regras de grupos de segurança, pode especificar, em alternativa, IDs de grupos de segurança adicionais para associar ao plano de controlo quando criar um cluster.
Regras do grupo de segurança do plano de controlo predefinidas
Estas são as regras predefinidas que o GKE no AWS associa ao plano de controlo. Estas regras não correspondem exatamente aos seus grupos de segurança. Cada linha na tabela pode expandir-se para várias regras de grupos de segurança da AWS.
| Tipo | Protocolo | Porta | Intervalos de endereços ou SG | Descrição |
|---|---|---|---|---|
| De entrada | TCP (versão do cluster < 1.26) | 443 | Intervalo CIDR principal da VPC | Permitir HTTPS a partir de nós do conjunto de nós |
| De entrada | TCP (versão do cluster >= 1.26) | 443 | Intervalo CIDR da sub-rede do node pool | Permitir HTTPS a partir de nós do node pool (uma regra por sub-rede usada por node pools) |
| De entrada | TCP | 2380 | SG do plano de controlo | Permitir replicação etcd do plano de controlo |
| De entrada | TCP | 2381 | SG do plano de controlo | Permitir a replicação de eventos etcd do plano de controlo |
| De entrada | TCP (versão do cluster < 1.26) | 8132 | Intervalo CIDR principal da VPC | Permita ligações de Konnectivity de pools de nós |
| De entrada | TCP (versão do cluster >= 1.26) | 8132 | Intervalo CIDR da sub-rede do node pool | Permitir ligações de Konnectivity a partir de nós do node pool (uma regra por sub-rede usada por node pools) |
| De entrada | TCP | 11872 | Intervalos CIDR do plano de controlo | Verificação de funcionamento de HTTP para o balanceador de carga |
| De saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída |
| De saída | TCP | 2380 | SG do plano de controlo | Permitir replicação etcd do plano de controlo |
| De saída | TCP | 2381 | SG do plano de controlo | Permitir a replicação de eventos etcd do plano de controlo |
Grupos de segurança do conjunto de nós
Os grupos de segurança do conjunto de nós definem as regras de firewall para o tráfego TCP de entrada e saída para as VMs nos conjuntos de nós.
O GKE on AWS cria e anexa um grupo de segurança do node pool gerido a todas as instâncias do node pool. Não deve modificar as regras neste grupo. Se precisar de adicionar mais regras do grupo de segurança, pode especificar, em alternativa, IDs de grupos de segurança adicionais para associar a instâncias quando criar um conjunto de nós.
Por predefinição, as VMs do conjunto de nós não têm portas abertas. Para permitir o tráfego de entrada, adiciona um grupo de segurança do conjunto de nós quando cria o conjunto de nós e gere as regras de entrada/saída pretendidas para o conjunto de nós através desse grupo de segurança.
Regras do grupo de segurança do node pool predefinido
Estas são as regras predefinidas que o GKE no AWS associa aos conjuntos de nós. Estas regras não correspondem exatamente aos seus grupos de segurança. Cada linha na tabela pode expandir-se para várias regras de grupos de segurança da AWS.
| Tipo | Protocolo | Porta | Intervalo de endereços ou SG | Descrição |
|---|---|---|---|---|
| De entrada | TCP | Tudo | Node pool SG | Permitir comunicação entre pods |
| De saída | TCP | Tudo | Node pool SG | Permitir comunicação entre pods |
| De saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída |
| De saída | TCP | 8132 | SG do plano de controlo | Permita ligações de Konnectivity ao plano de controlo |
| De saída | TCP | 8132 | Intervalos CIDR do plano de controlo | Permita ligações de Konnectivity ao plano de controlo |
Node pools em blocos CIDR secundários da VPC
O GKE on AWS versão 1.26 e posteriores cria e gere automaticamente as regras do grupo de segurança necessárias para suportar pools de nós que usam sub-redes em blocos CIDR de VPC secundários. Se estiver a usar uma destas versões, não precisa de criar grupos de segurança personalizados nem atualizá-los manualmente.
No entanto, quando cria grupos de segurança do plano de controlo gerido, as versões anteriores do GKE on AWS não criam regras que suportem pools de nós com sub-redes num bloco CIDR da VPC secundária.
Para contornar esta limitação, crie um grupo de segurança personalizado para o seu plano de controlo. Transmite o ID do grupo de segurança quando cria um cluster através da flag
--security-group-ids. Em alternativa, pode
Atualizar os grupos de segurança do cluster.
Crie o grupo de segurança com as seguintes regras:
| Tipo | Protocolo | Porta | Intervalos de endereços ou SG | Descrição |
|---|---|---|---|---|
| De entrada | TCP | 443 | Intervalos de node pool (em blocos CIDR secundários da VPC) | Permitir HTTPS a partir de nós do conjunto de nós |
| De entrada | TCP | 8132 | Intervalos de node pool (em blocos CIDR secundários da VPC) | Permita ligações de Konnectivity de pools de nós |