En esta página, se muestra cómo configurar reglas de firewall y proxy para Google Distributed Cloud (solo software) para VMware. Esta página está destinada a especialistas en redes que implementan sistemas de seguridad de datos, como firewalls. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Tareas y roles comunes de los usuarios de GKE Enterprise.
Agrega direcciones de tu proxy a la lista de entidades permitidas
Si la organización requiere que el tráfico saliente pase a través de un servidor proxy, incluye en la lista de entidades permitidas las siguientes direcciones en el servidor proxy. Ten en cuenta que se necesita www.googleapis.com, en lugar de googleapis.com:
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (opcional) 3
Notas:
1 El instalador del SDK de Google Cloudrequiere dl.google.com.
2 Si tu clúster se registró en la flota con una región Google Cloud , debes incluir en la lista de entidades permitidas REGION-gkeconnect.googleapis.com (por ejemplo, us-central1-gkeconnect.googleapis.com). Si no especificaste una región, el clúster usa la instancia global del servicio de Connect, y debes incluir en la lista de entidades permitidas gkeconnect.googleapis.com. Si necesitas encontrar la ubicación de la membresía de la flota de tu clúster, ejecuta gcloud container fleet memberships list. Para obtener más información, consulta gkeConnect.location.
3 Si no usas el cliente de Terraform en tu estación de trabajo de administrador para ejecutar comandos como terraform apply, no necesitas incluir en la lista de entidades permitidas releases.hashicorp.com. Si usas el cliente de Terraform
en tu estación de trabajo de administrador, puedes incluir en la lista de entidades permitidas releases.hashicorp.com
para verificar si la versión del cliente de Terraform que usas es la
más reciente. Para ello, ejecuta el
comando
terraform version.
Además, si tu vCenter Server tiene una dirección IP externa, incluye en la lista de entidades permitidas su dirección en el servidor proxy.
Reglas de firewall para clústeres de administrador
Las direcciones IP del clúster de administrador dependen de si Controlplane V2 está habilitado en el clúster de usuario y de la versión en la que se creó el clúster.
Cuando Controlplane V2 está habilitado, el plano de control de un clúster de usuario se ejecuta en el clúster de usuario. Cuando Controlplane V2 no está habilitado, el plano de control de un clúster de usuario se ejecuta en uno o más nodos del clúster de administrador, lo que se conoce como kubeception.
En la versión 1.28 y versiones posteriores, los clústeres de administrador de HA nuevos no tienen nodos de complementos.
Las direcciones IP de los nodos de complemento del clúster de administrador (si existen) y los nodos del plano de control del clúster de usuario de kubeception se enumeran en el archivo de bloque de IP del clúster de administrador. Los nodos del plano de control del clúster de administrador se configuran en la sección network.controlPlaneIPBlock.ips del archivo de configuración del clúster de administrador.
Como las direcciones IP del archivo de bloque de IP del clúster de administrador no se asignan a nodos específicos, debes asegurarte de que todas las reglas de firewall que se indican en la siguiente tabla se apliquen a todas las direcciones IP disponibles para el clúster de administrador.
Configura las reglas de firewall para permitir el siguiente tráfico.
De |
Puerto de origen |
Hasta |
Puerto |
Protocolo |
Descripción |
|---|---|---|---|---|---|
|
Nodo del plano de control del clúster de administrador |
1024 - 65535 |
API del servidor de vCenter |
443 |
TCP/https |
Cambio del tamaño del clúster |
|
Nodos de complemento del clúster de administrador |
1024 - 65535 |
API del servidor de vCenter |
443 |
TCP/https |
Administración del ciclo de vida de los clústeres de usuario. |
|
Nodos de complemento del clúster de administrador |
32768- 60999 |
VIP del servidor de la API de Kubernetes del clúster de administrador VIP de los servidores de la API de Kubernetes de los clústeres de usuarios |
443 |
TCP/https |
Se creó el clúster de usuario. Actualización del clúster de usuario Actualización del clúster de usuario Eliminación de clústeres de usuarios |
|
Nodos del plano de control del clúster de administrador |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com requerida para los servicios habilitados para los clústeres de administrador o de usuario VIPs de los servidores de la API de Kubernetes de los clústeres de usuario VIP del servidor de la API de Kubernetes del clúster de administrador API de vCenter Server API de F5 BIG_IP del clúster de administrador API de F5 BIG_IP del clúster de usuario Servidores NTP del clúster de administrador Servidores NTP del clúster de usuario Servidores DNS del clúster de administrador Servidores DNS del clúster de usuario |
443 |
TCP/https |
Comprobaciones previas (validación). Cuando creas, actualizas o mejoras clústeres de usuario. Cuando creas, actualizas o mejoras el clúster de administrador. |
|
Nodos del plano de control del clúster de administrador |
32768- 60999 |
Registro local de Docker del clúster de usuarios |
Depende del registro |
TCP/https |
Comprobaciones previas (validación). Es obligatorio si un clúster de usuarios está configurado para usar un registro privado de Docker en lugar de gcr.io. Cuando creas o actualizas clústeres de usuario. Cuando creas o actualizas el clúster de administrador. |
|
Nodos del plano de control del clúster de administrador |
32768- 60999 |
Nodos del clúster de administrador Nodos del clúster de usuario VIP del balanceador de cargas del clúster de administrador VIP del balanceador de cargas del clúster de usuario |
icmp |
Comprobaciones previas (validación). Cuando creas, actualizas o mejoras clústeres de usuario. Cuando creas, actualizas o mejoras el clúster de administrador. |
|
|
Nodos del plano de control del clúster de administrador |
32768- 60999 |
Nodos trabajadores del clúster de usuarios |
22 |
ssh |
Comprobaciones previas (validación). Cuando actualizas clústeres de usuarios. Cuando actualizas el clúster de administrador. |
|
Nodo del plano de control del clúster de usuario (solo kubeception) |
1024 - 65535 |
API del servidor de vCenter |
443 |
TCP/https |
Cambio del tamaño del clúster |
|
Nodo del plano de control del clúster de usuario (solo kubeception) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Se requiere acceso para el registro de la flota. Consulta la nota 2 después de la lista de URLs que se incluirán en la lista de entidades permitidas. |
|
Nodo del plano de control del clúster de usuario (solo kubeception) |
1024 - 65535 |
API de BIG-IP de F5 |
443 |
TCP/https |
|
|
Nodo del plano de control del clúster de usuario (solo kubeception) |
1024 - 65535 |
Registro local de Docker |
Depende del registro |
TCP/https |
Es obligatorio si Google Distributed Cloud está configurado para usar un registro privado de Docker en lugar de gcr.io. |
|
Nodo del plano de control del clúster de usuario (solo kubeception) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com requerida para los servicios habilitados para el clúster de administrador |
443 |
TCP/https |
Descarga imágenes de registros públicos de Docker. No es necesario si se usa un registro privado de Docker. |
|
Recopilador de Cloud Logging, que se ejecuta en un nodo complementario del clúster del administrador |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Recopilador de Cloud Metadata, que se ejecuta en un nodo complementario del clúster del administrador |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
Recopilador de Cloud Monitoring, que se ejecuta en un nodo complementario del clúster del administrador |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nodo del plano de control del clúster de administrador |
1024 - 65535 |
API de BIG-IP de F5 |
443 |
TCP/https |
|
|
Nodo del plano de control del clúster de administrador |
1024 - 65535 |
Registro local de Docker |
Depende del registro |
TCP/https |
Es obligatorio si Google Distributed Cloud está configurado para usar un registro privado de Docker en lugar de gcr.io. |
|
Nodo del plano de control del clúster de administrador |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com requerida para los servicios habilitados para el clúster de administrador |
443 |
TCP/https |
Descarga imágenes de registros públicos de Docker. No es necesario si se usa un registro privado de Docker. |
|
Nodos trabajadores del clúster de administrador |
1024 - 65535 |
Nodos trabajadores del clúster de administrador |
Todos |
179: bgp 443: https 5473: Calico/Typha 9443: Métricas de Envoy 10250: Puerto de nodo de kubelet |
Todos los nodos trabajadores deben ser adyacentes a la capa 2 y no deben tener ningún firewall. |
|
Nodos del clúster del administrador |
1024 - 65535 |
CIDR del Pod del clúster de administrador |
todos |
cualquiera |
Se aplica SNAT al tráfico externo en el primer nodo y se envía a la IP del pod. |
|
Nodos trabajadores del clúster de administrador |
todos |
Nodos del clúster de usuario |
22 |
ssh |
Obligatorio para kubeception. Comunicación entre el servidor de API y kubelet a través de un túnel SSH. Se debe omitir para Controlplane V2. |
|
Nodos del clúster del administrador |
1024 - 65535 |
IP de las VM de los balanceadores de cargas de Seesaw del clúster del administrador |
20255, 20257 |
TCP/http |
Supervisión de métricas y envío de la configuración del balanceador de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw. |
|
Nodos del clúster del administrador |
1024 - 65535 |
Nodos del clúster del administrador |
7946 |
TCP/UDP |
Verificación de estado de MetalLB Solo es necesaria si usas el paquete de los balanceadores de cargas de MetalLB. |
|
Nodos del clúster del administrador |
Todos |
VIP del plano de control del clúster de usuario |
443 |
https |
Obligatorio para Controlplane V2. Permite que los nodos y los Pods del clúster de administrador se comuniquen con el servidor de la API de Kubernetes del clúster de usuario. |
|
Nodos del clúster del administrador |
Todos |
Nodos del plano de control del clúster de usuario |
443 |
https |
Obligatorio para Controlplane V2. Permite que los nodos y los Pods del clúster de administrador se comuniquen con el servidor de la API de Kubernetes del clúster de usuario a través de la dirección IP de un nodo del plano de control del clúster de usuario. |
Reglas de firewall para los nodos del clúster de usuario
En los nodos del clúster de usuario, sus direcciones IP se enumeran en el archivo de bloque de IP.
Al igual que con los nodos del clúster de administrador, no sabes qué dirección IP se usará para cada nodo. Por lo tanto, todas las reglas de los nodos de los clústeres de usuario se aplican a cada nodo de clúster de usuario.
Desde |
Puerto de origen |
Hasta |
Puerto |
Protocolo |
Descripción |
|---|---|---|---|---|---|
|
Nodo del plano de control del clúster de usuario (solo Controlplane V2) |
1024 - 65535 |
API del servidor de vCenter |
443 |
TCP/https |
Cambio del tamaño del clúster |
|
Nodo del plano de control del clúster de usuario (solo Controlplane V2) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
Se requiere acceso para el registro de la flota. Consulta la nota 2 después de la lista de URLs que se incluirán en la lista de entidades permitidas. |
|
Nodo del plano de control del clúster de usuario (solo Controlplane V2) |
1024 - 65535 |
Registro local de Docker |
Depende del registro |
TCP/https |
Es obligatorio si Google Distributed Cloud está configurado para usar un registro privado de Docker en lugar de gcr.io. |
|
Nodo del plano de control del clúster de usuario (solo Controlplane V2) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com requerida para los servicios habilitados para el clúster de administrador |
443 |
TCP/https |
Descarga imágenes de registros públicos de Docker. No es necesario si se usa un registro privado de Docker. |
|
Nodo del plano de control del clúster de usuario (solo Controlplane V2) |
1024 - 65535 |
API de BIG-IP de F5 |
443 |
TCP/https |
|
|
Nodos trabajadores del clúster de usuarios |
todos |
gcr.io oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com requerida para los servicios habilitados para este clúster |
443 |
TCP/https |
Descarga imágenes de registros públicos de Docker. No es necesario si se usa un registro privado de Docker. |
|
Nodos trabajadores del clúster de usuarios |
todos |
API de BIG-IP de F5 |
443 |
TCP/https |
|
|
Nodos trabajadores del clúster de usuarios |
todos |
VIP del servidor de PushProx, que se ejecuta en el clúster del administrador. |
8443 |
TCP/https |
Tráfico de Prometheus |
|
Nodos trabajadores del clúster de usuarios |
todos |
Nodos trabajadores del clúster de usuarios |
todos |
22: ssh 179: bgp 443: https 5473: calico-typha 9443: Métricas de Envoy 10250: Puerto de nodo de kubelet |
Todos los nodos trabajadores deben ser adyacentes a la capa 2 y no deben tener ningún firewall. |
|
Nodos trabajadores del clúster de usuarios |
todos |
VIP del plano de control del usuario |
443 |
TCP/https |
|
|
Nodos trabajadores del clúster de usuarios |
Todos |
VIP del plano de control del usuario |
8132 |
GRPC |
Obligatorio para kubeception. Conexión Konnectivity. Se debe omitir para Controlplane V2. |
|
Nodos del clúster del administrador |
Todos |
Servidor de vCenter del clúster de usuarios |
443 |
https |
Permite que el clúster de administrador administre el ciclo de vida del clúster de usuario. Obligatorio si los clústeres de administrador y de usuario tienen servidores de vCenter diferentes. |
|
Nodos del clúster de usuario |
1024 - 65535 |
CIDR del pod del clúster de usuario |
todos |
cualquiera |
Se aplica SNAT al tráfico externo en el primer nodo y se envía a la IP del pod. |
|
Recopilador de Cloud Logging, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Agente de Connect, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com o REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Tráfico de Connect. Consulta la nota 2 después de la lista de URLs que se incluirán en la lista de entidades permitidas. |
|
Recopilador de Cloud Metadata, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios |
1024 - 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
Recopilador de Cloud Monitoring, que se ejecuta en un nodo trabajador aleatorio del clúster de usuarios |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nodos del clúster de usuario |
1024 - 65535 |
IP de las VM de los balanceadores de cargas de Seesaw del clúster de usuarios |
20255, 20257 |
TCP/http |
Supervisión de métricas y envío de la configuración del balanceador de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw. |
|
Nodos de clústeres de usuarios con enableLoadBalancer=true |
1024 - 65535 |
Nodos de clústeres de usuarios con enableLoadBalancer=true |
7946 |
TCP/UDP |
Verificación de estado de MetalLB Solo es necesaria si usas el paquete de los balanceadores de cargas de MetalLB. |
|
Red del clúster de usuario |
todos |
VIP del plano de control del clúster de usuario |
443 |
TCP/https |
Reglas de firewall para los componentes restantes
Estas reglas se aplican a todos los demás componentes que no aparecen en las tablas del clúster de administrador y los nodos del clúster de usuario.
Desde |
Puerto de origen |
Hasta |
Puerto |
Protocolo |
Descripción |
|---|---|---|---|---|---|
|
CIDR del Pod del clúster de administrador |
1024 - 65535 |
CIDR del Pod del clúster de administrador |
todos |
cualquiera |
El tráfico entre pods realiza el reenvío de L2 directamente mediante la IP de origen y de destino dentro del CIDR del pod. |
|
CIDR del Pod del clúster de administrador |
1024 - 65535 |
Nodos del clúster del administrador |
todos |
cualquiera |
Muestra el tráfico externo. |
|
CIDR del pod del clúster de usuario |
1024 - 65535 |
CIDR del pod del clúster de usuario |
todos |
cualquiera |
El tráfico entre pods realiza el reenvío de L2 directamente mediante la IP de origen y de destino dentro del CIDR del pod. |
|
CIDR del pod del clúster de usuario |
1024 - 65535 |
Nodos del clúster de usuario |
todos |
cualquiera |
Muestra el tráfico externo. |
|
Clientes y usuarios finales de la aplicación |
todos |
VIP de entrada de Istio |
80, 443 |
TCP |
Tráfico del usuario final al servicio de entrada de un clúster de usuarios |
|
Servidor de Jump para implementar la estación de trabajo del administrador |
rango de puerto efímero |
API de vCenter Server IP de VMkernel de ESXi (mgt) de hosts en el clúster de destino |
443 |
TCP/https |
Verifica el rango de puerto efímero de “cat /proc/sys/net/ipv4/ip_local_port_range”. |
|
Estación de trabajo de administrador |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com requerida para los servicios habilitados para este clúster |
443 |
TCP/https |
Descarga imágenes de Docker de registros públicos de Docker. |
|
Estación de trabajo de administrador |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Cualquier URL *.googleapis.com requerida para los servicios habilitados para los clústeres de administrador o de usuario VIPs de los servidores de la API de Kubernetes de los clústeres de usuario VIP del servidor de la API de Kubernetes del clúster de administrador API de vCenter Server API de F5 BIG-IP |
443 |
TCP/https |
Comprobaciones previas (validación). Cuando creas, actualizas o borras clústeres con |
|
Estación de trabajo de administrador |
32768- 60999 |
API del servidor de vCenter API de BIG-IP de F5 |
443 |
TCP/https |
Se creó el clúster de administrador. Se creó el clúster de usuario. |
|
Estación de trabajo de administrador |
32768- 60999 |
IP de VMkernel de ESXi (mgt) de hosts en el clúster de destino |
443 |
TCP/https |
La estación de trabajo de administrador sube el OVA al almacén de datos a través de los hosts ESXi. |
|
Estación de trabajo de administrador |
32768- 60999 |
VIP del servidor de la API de Kubernetes del clúster de administrador VIP de los servidores de la API de Kubernetes de los clústeres de usuarios |
443 |
TCP/https |
Se creó el clúster de administrador. Actualización del clúster de administrador Se creó el clúster de usuario. Actualización del clúster de usuario Eliminación de clústeres de usuarios |
|
Estación de trabajo de administrador |
32768- 60999 |
Nodos trabajadores y nodo del plano de control del clúster de administrador |
443 |
TCP/https |
Se creó el clúster de administrador. Actualizaciones del plano de control |
|
Estación de trabajo de administrador |
32768- 60999 |
Todos los nodos del clúster del administrador y todos los nodos del clúster de usuarios |
443 |
TCP/https |
Validación de red como parte del comando |
|
Estación de trabajo de administrador |
32768- 60999 |
VIP de la entrada de Istio del clúster del administrador VIP de entrada de Istio de clústeres de usuarios |
443 |
TCP/https |
Validación de red como parte del comando |
|
Estación de trabajo de administrador |
32768- 60999 |
oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Acceso a Cloud Logging y Cloud Monitoring |
|
Estación de trabajo de administrador |
32768- 60999 |
IP de las VM de los balanceadores de cargas de Seesaw en los clústeres del administrador y de usuarios VIP de los balanceadores de cargas de Seesaw de los clústeres del administrador y de usuarios |
20256, 20258 |
TCP/http/gRPC |
Verificación de estado de los balanceadores de cargas. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw. |
|
Estación de trabajo de administrador |
32768- 60999 |
IP de nodo del plano de control del clúster |
22 |
TCP |
Es obligatorio si necesitas acceso SSH desde la estación de trabajo de administrador al plano de control del clúster de administrador. |
| Estación de trabajo de administrador | 32768- 60999 | releases.hashicorp.com | 443 | TCP/https | Opcional. Consulta la nota 3 después de la lista de URLs que se incluirán en la lista de entidades permitidas. |
|
IP de las VM del balanceador de cargas |
32768- 60999 |
IP del nodo del clúster correspondiente |
10256: verificación de estado del nodo |
TCP/http |
Verificación de estado del nodo. healthCheckNodePort es para servicios que tienen externalTrafficPolicy configurada como Local. Solo es necesaria si usas el paquete de los balanceadores de cargas de Seesaw. |
|
Auto-IP F5 |
1024 - 65535 |
Todos los nodos del clúster del administrador y del usuario |
30000: 32767 |
cualquiera |
Para el tráfico del plano de datos que BIG-IP de F5 balancea a través de un servidor virtual VIP a los puertos del nodo en los nodos del clúster de Kubernetes. Por lo general, la auto-IP F5 está en la misma red o subred que los nodos del clúster de Kubernetes. |