Grupos de segurança de rede

Nesta página, descrevemos e listamos os grupos de segurança de rede (NSGs, na sigla em inglês) do Azure exigidos pelo GKE no Azure.

NSGs gerenciados

O GKE no Azure gerencia os NSGs anexados à placa de interface de rede virtual (NIC, na sigla em inglês) de cada instância de máquina virtual (VM). Para controlar ainda mais o tráfego de rede, adicione NSGs às suas sub-redes.

O GKE no Azure gerencia as regras de NSG necessárias automaticamente. Ele adiciona regras de NSG ausentes e remove regras que não são mais necessárias. O GKE no Azure também modifica as regras com base na configuração do serviço do Kubernetes. Por exemplo, quando você adiciona um Serviço do Kubernetes do tipo LoadBalancer, o GKE no Azure adiciona as regras de NSG correspondentes.

Prioridades da regra

As prioridades da regra NSG do Azure têm um intervalo entre 100 e 4.096. Quanto menor o número, mais alta a prioridade.

Por padrão, o GKE no Azure gerencia apenas as regras de NSG com prioridade de 500 ou superior. Portanto, se você precisar implementar uma regra específica ou criar outras regras, use as NSGs com prioridade entre 100 e 499.

No Azure, as regras são processadas em ordem, começando pelo número de prioridade mais baixo e aumentando na sequência. Ao criar uma nova regra, sempre escolha as prioridades no intervalo entre 100 e 499 para evitar conflito com as regras atuais de NSG do Anthos.

Grupos de segurança para aplicativos

O GKE no Azure cria dois grupos de segurança de aplicativos (ASGs, na sigla em inglês) que se aplicam às NICs virtuais dos planos de controle e nós de trabalho. O GKE no Azure atualiza os ASGs automaticamente, por exemplo, quando você adiciona um novo pool de nós a um cluster. É possível usar esses ASGs ao criar regras de NSG.

Os IDs do Azure Resource Manager (ARM) do NSG e do ASG do plano de controle podem ser obtidos da saída de gcloud container azure clusters describe.

Por exemplo, para permitir conexões SSH para as VMs do plano de controle, execute o comando az network nsg rule create para criar um NSG que faça referência ao ASG do plano de controle:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Substitua:

• CLUSTER_NAME: o nome do cluster.
• GOOGLE_CLOUD_LOCATION: o local do Google Cloud que gerencia seu cluster
• CLUSTER_RESOURCE_GROUP: o nome do grupo de recursos do Azure que contém o cluster.

Para mais informações sobre como criar uma nova regra, siga o procedimento descrito em Criação de regras NSG do Azure.

Regras de NSG padrão

Quando você configura o GKE no Azure, ele cria as seguintes regras de NSG na rede virtual do Azure.