网络安全群组

本页面介绍并列出 GKE on Azure 所需的 Azure 网络安全群组 (NSG)。

本页面适用于想要安装、配置和支持网络设备的网络专家。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务，请参阅常见的 GKE 用户角色和任务。

代管式 NSG

GKE on Azure 管理连接到每个虚拟机 (VM) 实例的虚拟网络接口卡 (NIC) 的 NSG。如需进一步控制网络流量，您可以向子网添加其他 NSG。

GKE on Azure 会自动管理所需的 NSG 规则。它会添加缺少的 NSG 规则，并移除不再需要的规则。GKE on Azure 还可以根据您的 Kubernetes Service 配置来修改规则。例如，当您添加 LoadBalancer 类型的 Kubernetes Service 时，GKE on Azure 会添加相应的 NSG 规则。

规则优先级

Azure NSG 规则的优先级范围介于 100 到 4096 之间。优先级数字越小，优先级越高。

根据设计，GKE on Azure 仅管理优先级为 500 或更高的 NSG 规则。因此，如果您需要实现特定规则或创建其他规则，则可以使用优先级介于 100 到 499 之间的 NSG。

Azure 会按顺序处理规则，从优先级数值最小的开始，不断向上处理。创建新规则时，请始终选择 100 到 499 范围内的规则优先级，以避免与现有 Anthos NSG 规则发生冲突。

应用安全群组

GKE on Azure 会创建两个应用安全群组 (ASG)，应用安全群组应用于控制平面和工作器节点的虚拟 NIC。GKE on Azure 会自动更新 ASG（例如当您向集群添加新节点池时）。您可以在创建 NSG 规则时使用这些 ASG。

NSG 和控制平面 ASG 的 Azure Resource Manager (ARM) ID 可以从 gcloud container azure clusters describe 的输出获取。

例如，如需允许通过 SSH 连接到控制平面虚拟机，请运行 az network nsg rule create 命令以创建引用控制平面 ASG 的 NSG：

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

替换以下内容：

• CLUSTER_NAME：您的集群的名称
• GOOGLE_CLOUD_LOCATION：管理集群的 Google Cloud 位置
• CLUSTER_RESOURCE_GROUP：集群所在的 Azure 资源组的名称

如需详细了解如何创建新规则，请按照 Azure NSG 规则创建中所述的步骤操作。

默认的 NSG 规则

设置 GKE on Azure 时，它会在 Azure 虚拟网络中创建以下 NSG 规则。