Los clústeres de Anthos alojados en Azure están disponibles para los clientes que tengan una relación de asistencia con Google Cloud. Comunícate con el representante de tu cuenta para obtener acceso.

Grupos de seguridad de red

En esta página, se describen y enumeran los grupos de seguridad de red (NSG) de Azure que requieren los clústeres de Anthos alojados en Azure.

NSG administrados

Los clústeres de Anthos alojados en Azure administran los NSG adjuntos a la tarjeta de interfaz de red virtual (NIC) de cada instancia de máquina virtual (VM). Para controlar aún más el tráfico de red, puedes agregar NSG adicionales a las subredes.

Los clústeres de Anthos alojados en Azure administran las reglas de NSG necesarias de forma automática. Agrega reglas de NSX faltantes y quita reglas que ya no son necesarias. Los clústeres de Anthos alojados en Azure también concilian las reglas según la configuración del servicio de Kubernetes. Por ejemplo, cuando agregas un Service de Kubernetes de tipo LoadBalancer, los clústeres de Anthos alojados en Azure agregan las reglas NSG correspondientes.

Prioridades de las reglas

Las prioridades de las reglas de NSG de Azure tienen un rango de 100 a 4,096. Mientras más bajo sea el número, más alta será la prioridad.

Por su diseño, los clústeres de Anthos alojados en Azure administran solo reglas NSG con una prioridad de 500 o más. Por lo tanto, si necesitas implementar una regla específica o crear reglas adicionales, puedes usar los NSG con una prioridad de 100 a 499.

Azure procesa las reglas en orden, que comienza con la cantidad de prioridad más baja y sigue hacia arriba. Cuando crees reglas nuevas, elige siempre las prioridades de reglas en el rango de 100 a 499 para evitar conflictos con las reglas de NSG de Anthos existentes.

Los clústeres de Anthos alojados en Azure crean dos grupos de seguridad de aplicaciones (ASG) que agrupan los NIC virtuales de los planos de control y los nodos trabajadores. Los clústeres de Anthos alojados en Azure actualizan los ASG cuando realizas cambios en las NIC, por ejemplo, cuando agregas un grupo de nodos nuevo a un clúster de usuario. Puedes usar estos ASG cuando creas reglas de NSG.

Por ejemplo, para permitir una conexión de bastión a las VM del plano de control, ejecuta el siguiente comando:

CLUSTER_UUID=$(gcloud alpha container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION --format='value(uid)' | cut -d - -f1)

NSG_NAME="nsg-anthos-${CLUSTER_UUID}"

ASG_CP_NAME="asg-cp-anthos-${CLUSTER_UUID}"

az network nsg rule create \
--name AllowBastionToControlPlane \
--nsg-name "${NSG_NAME}" \
--priority 100 \
--resource-group "CLUSTER_RESOURCE_GROUP" \
--access Allow \
--protocol Tcp \
--destination-port-ranges 22 \
--destination-asgs "${ASG_CP_NAME}"

Reemplaza lo siguiente:

  • CLUSTER_NAME: es el nombre del clúster de usuario.
  • GOOGLE_CLOUD_LOCATION: es la ubicación de Google Cloud que administra tus clústeres.
  • CLUSTER_RESOURCE_GROUP: es el nombre del grupo de recursos de Azure que contiene el clúster de usuario.

Si deseas obtener más información para crear una regla nueva, sigue el procedimiento que se describe en Creación de reglas de NSG de Azure.

Reglas NSG predeterminadas

Cuando se configuran clústeres de Anthos alojados en Azure, se crean las siguientes reglas de NSG en la red virtual de Azure:

Prioridad Puertos Protocolo Origen Destino Acción Objetivo
1000 2380, 2381 TCP NIC del plano de control NIC del plano de control Permitir Comunicación de etcd del plano de control
1001 443, 8132 TCP Cualquiera NIC del plano de control Permitir Permite acceder a la API de Kubernetes
1002 10250 TCP NIC del plano de control NIC del grupo de nodos Permitir Comunicaciones del plano de control a los nodos
1003 10250, 10255 TCP NIC del grupo de nodos NIC del grupo de nodos Permitir Comunicación de nodo a nodo
1004 6081 UDP NIC del grupo de nodos NIC del grupo de nodos Permitir Comunicación del nodo a la CNI del nodo
1005 Cualquiera Cualquiera Balanceador de cargas de Azure Cualquiera Permitir Permite el tráfico entrante al balanceador de cargas
4095 443 TCP VNet NIC del plano de control Permitir Permite el acceso al servidor de la API
4,096 Cualquiera Cualquiera Cualquiera Cualquiera Denegar Rechaza todas las conexiones entrantes que no estén cubiertas por otra regla