Grupos de segurança de rede

Esta página descreve e apresenta os grupos de segurança de rede (NSGs) do Azure exigidos pelo GKE no Azure.

Esta página destina-se a especialistas de redes que pretendam instalar, configurar e prestar apoio técnico a equipamentos de rede. Para saber mais sobre as funções comuns e as tarefas de exemplo a que fazemos referência no Google Cloud conteúdo, consulte Funções e tarefas comuns de utilizadores do GKE.

NSGs geridos

O GKE no Azure gere os NSGs anexados à placa de interface de rede (NIC) da máquina virtual (VM) de cada instância. Para controlar ainda mais o tráfego de rede, pode adicionar NSGs adicionais às suas sub-redes.

O GKE no Azure gere automaticamente as regras do NSG necessárias. Adiciona regras de NSG em falta e remove regras que já não são necessárias. O GKE no Azure também modifica as regras com base na configuração do serviço Kubernetes. Por exemplo, quando adiciona um serviço Kubernetes do tipo LoadBalancer, o GKE no Azure adiciona as regras do NSG correspondentes.

Prioridades das regras

As prioridades das regras do NSG do Azure têm um intervalo entre 100 e 4096. Quanto mais baixo for o número de prioridade, mais elevada é a prioridade.

Por predefinição, o GKE no Azure gere apenas regras de NSG com uma prioridade de 500 ou superior. Por conseguinte, se precisar de implementar uma regra específica ou criar regras adicionais, pode usar NSGs com uma prioridade entre 100 e 499.

O Azure processa as regras por ordem, começando pelo número de prioridade mais baixo e avançando para cima. Quando criar uma nova regra, escolha sempre prioridades de regras no intervalo de 100 a 499 para evitar conflitos com as regras de NSG do Anthos existentes.

Grupos de segurança de aplicações

O GKE on Azure cria dois grupos de segurança de aplicações (ASGs) que se aplicam às NICs virtuais dos planos de controlo e dos nós de trabalho. O GKE no Azure atualiza os ASGs automaticamente, por exemplo, quando adiciona um novo conjunto de nós a um cluster. Pode usar estes GSAs quando criar regras de GSNs.

Os IDs do Azure Resource Manager (ARM) do NSG e do ASG do plano de controlo podem ser obtidos a partir do resultado de gcloud container azure clusters describe.

Por exemplo, para permitir ligações SSH às VMs do plano de controlo, execute o comando az network nsg rule create para criar um NSG que faça referência ao ASG do plano de controlo:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Substitua o seguinte:

• CLUSTER_NAME: o nome do seu cluster
• GOOGLE_CLOUD_LOCATION: a Google Cloud localização que gere o seu cluster
• CLUSTER_RESOURCE_GROUP: o nome do grupo de recursos do Azure que contém o seu cluster

Para mais informações sobre como criar uma nova regra, siga o procedimento descrito no artigo Criação de regras do NSG do Azure.

Regras do NSG predefinidas

Quando configura o GKE no Azure, cria as seguintes regras do NSG na sua rede virtual do Azure.