Gruppi di sicurezza di rete

Questa pagina descrive ed elenca i gruppi di sicurezza della rete Azure (NSG) richiesti da GKE su Azure.

NSG gestiti

GKE su Azure gestisce gli NSG collegati alla scheda di interfaccia della rete virtuale (NIC) di ogni istanza di macchina virtuale (VM). Per controllare ulteriormente il traffico di rete, puoi aggiungere altri NSG alle subnet.

GKE su Azure gestisce automaticamente le regole NSG richieste. Aggiunge le regole NSG mancanti e rimuove quelle che non sono più necessarie. GKE su Azure modifica anche le regole in base alla configurazione del tuo servizio Kubernetes. Ad esempio, quando aggiungi un servizio Kubernetes di tipo LoadBalancer, GKE su Azure aggiunge le regole NSG corrispondenti.

Priorità delle regole

Le priorità delle regole di Azure NSG hanno un intervallo compreso tra 100 e 4096. Più basso è il numero di priorità, più alta è la priorità.

In base alla sua progettazione, GKE su Azure gestisce solo le regole NSG con priorità pari o superiore a 500. Pertanto, se devi implementare una regola specifica o creare regole aggiuntive, puoi utilizzare i NSG con una priorità compresa tra 100 e 499.

Azure elabora le regole in ordine, a partire dal numero di priorità più basso e procedendo verso l'alto. Quando crei una nuova regola, scegli sempre le priorità delle regole comprese tra 100 e 499 per evitare conflitti con le regole Anthos NSG esistenti.

Gruppi di sicurezza delle applicazioni

GKE su Azure crea due gruppi di sicurezza delle applicazioni (ASG) che si applicano ai NIC virtuali dei piani di controllo e dei nodi worker. GKE su Azure aggiorna gli ASG automaticamente, ad esempio quando aggiungi un nuovo pool di nodi a un cluster. Puoi usare questi ASG durante la creazione di regole NSG.

Gli ID di Azure Resource Manager (ARM) dell'NSG e dell'ASG del piano di controllo possono essere ottenuti dall'output di gcloud container azure clusters describe.

Ad esempio, per consentire le connessioni SSH alle VM del piano di controllo, esegui il comando az network nsg rule create per creare un NSG che faccia riferimento all'ASG del piano di controllo:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Sostituisci quanto segue:

• CLUSTER_NAME: il nome del cluster
• GOOGLE_CLOUD_LOCATION: la località Google Cloud che gestisce il cluster
• CLUSTER_RESOURCE_GROUP: il nome del gruppo di risorse Azure che contiene il cluster

Per ulteriori informazioni sulla creazione di una nuova regola, segui la procedura descritta in Creazione di regole NSG di Azure.

Regole NSG predefinite

Quando configuri GKE su Azure, vengono create le seguenti regole NSG nella tua rete virtuale Azure.