Neste tópico, explicamos como os clusters do Anthos na AWS gerenciam regras de grupos de segurança da AWS para o cluster e como modificar as regras de firewall para pools de nós e réplicas do plano de controle.
Grupos de segurança e DNS hospedado
Se você usa um servidor DNS hospedado em vez do DNS fornecido pela AWS, os grupos de segurança do plano de controle e do pool de nós precisam permitir o tráfego de saída na porta TCP e UDP 53.
Grupos de segurança do plano de controle
Os grupos de segurança do plano de controle definem as regras de firewall para o tráfego TCP de entrada e saída para cada réplica do plano de controle.
O plano de controle consiste em três instâncias do EC2 por trás de um balanceador de carga de rede (NLB) da AWS. Essas instâncias aceitam conexões de instâncias do etcd em outros nós, pool de nós e a NLB. As instâncias do plano de controle também fazem conexões HTTPS de saída com os serviços do Google e da AWS.
O GKE na AWS cria e anexa um grupo de segurança de plano de controle gerenciado a todas as instâncias do plano de controle. Não modifique as regras nesse grupo. Se você precisar adicionar mais regras de grupo de segurança, poderá especificar outros IDs de grupo de segurança para anexar ao plano de controle ao criar um cluster.
Regras de grupo de segurança do plano de controle padrão
Estas são as regras padrão que o GKE na AWS anexa ao plano de controle. Essas regras não corresponderão exatamente aos seus grupos de segurança. Cada linha na tabela pode se expandir para várias regras de grupo de segurança da AWS.
| Tipo | Protocolo | Port | Intervalos de endereços ou SG | Descrição |
|---|---|---|---|---|
| Entrada | TCP (versão do cluster anterior à 1.26) | 443 | Intervalo CIDR primário de VPC | Permitir HTTPS dos nós do pool de nós |
| Entrada | TCP (versão do cluster >= 1.26) | 443 | Intervalo CIDR da sub-rede do pool de nós | Permitir HTTPS dos nós do pool de nós (uma regra por sub-rede usada pelos pools de nós) |
| Entrada | TCP | 2380 | Plano de controle SG | Permitir a replicação do etcd do plano de controle |
| Entrada | TCP | 2381 | Plano de controle SG | Permitir a replicação de eventos do etcd do plano de controle |
| Entrada | TCP (versão do cluster anterior à 1.26) | 8132 | Intervalo CIDR primário de VPC | Permitir conexões do Konnectivity de pools de nós |
| Entrada | TCP (versão do cluster >= 1.26) | 8132 | Intervalo CIDR da sub-rede do pool de nós | Permitir conexões Konnectivity de nós de pools de nós (uma regra por sub-rede usada por pools de nós) |
| Entrada | TCP | 11872 | Intervalos CIDR do plano de controle | Verificação de integridade de HTTP para o balanceador de carga |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída. |
| Saída | TCP | 2380 | Plano de controle SG | Permitir a replicação do etcd do plano de controle |
| Saída | TCP | 2381 | Plano de controle SG | Permitir a replicação de eventos do etcd do plano de controle |
Grupos de segurança do pool de nós
Os grupos de segurança do pool de nós definem as regras de firewall para o tráfego TCP de entrada e saída para as VMs em pools de nós.
O GKE na AWS cria e anexa um grupo de segurança do pool de nós gerenciado a todas as instâncias do pool de nós. Não modifique as regras nesse grupo. Se você precisar adicionar mais regras de grupo de segurança, poderá especificar códigos adicionais de grupo de segurança para anexar a instâncias ao criar um pool de nós.
Por padrão, as VMs do pool de nós não têm portas abertas. Para permitir o tráfego de entrada, adicione um grupo de segurança do pool de nós ao criar o pool de nós e gerencie as regras de entrada/saída desejadas para o pool de nós por meio desse grupo de segurança.
Regras padrão do grupo de segurança do pool de nós
Estas são as regras padrão que o GKE na AWS anexa aos pools de nós. Essas regras não corresponderão exatamente aos seus grupos de segurança. cada linha na tabela pode se expandir para várias regras de grupo de segurança da AWS.
| Tipo | Protocolo | Port | Intervalo de endereços ou SG | Descrição |
|---|---|---|---|---|
| Entrada | TCP | Tudo | Pool de nós SG | Permitir a comunicação entre pods. |
| Saída | TCP | Tudo | Pool de nós SG | Permitir a comunicação entre pods. |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída. |
| Saída | TCP | 8132 | Plano de controle SG | Permitir conexões do Konnectivity ao plano de controle |
| Saída | TCP | 8132 | Intervalos CIDR do plano de controle | Permitir conexões do Konnectivity ao plano de controle |
Pools de nós em blocos CIDR secundários de VPC
O GKE na AWS versão 1.26 e mais recentes cria e gerencia automaticamente as regras de grupo de segurança necessárias para oferecer suporte a pools de nós usando sub-redes em blocos CIDR de VPC secundários. Se você estiver usando uma dessas versões, não será necessário criar grupos de segurança personalizados ou atualizá-los manualmente.
No entanto, ao criar grupos de segurança do plano de controle gerenciado, as versões anteriores do GKE na AWS não criam regras compatíveis com pools de nós com sub-redes em um bloco CIDR secundário da VPC.
Para contornar essa limitação, crie um grupo de segurança personalizado para seu plano de controle. Ao criar um cluster usando a sinalização
--security-group-ids,
transmita o ID do grupo de segurança. Se preferir, atualize os grupos de segurança do cluster.
Crie o grupo de segurança com as seguintes regras:
| Tipo | Protocolo | Port | Intervalos de endereços ou SG | Descrição |
|---|---|---|---|---|
| Entrada | TCP | 443 | Intervalos de pools de nós (em blocos CIDR secundários de VPC) | Permitir HTTPS de nós do pool de nós. |
| Entrada | TCP | 8132 | Intervalos de pools de nós (em blocos CIDR secundários de VPC) | Permitir conexões do Konnectivity de pools de nós |