Esta página mostra como configurar regras de proxy e firewall para o Google Distributed Cloud (apenas software) para VMware. Esta página destina-se a especialistas em redes que implementam sistemas de segurança de dados, como firewalls. Para saber mais sobre as funções comuns e as tarefas de exemplo que referimos no conteúdo, consulte o artigo Funções e tarefas comuns do utilizador do GKE. Google Cloud
Adicionar endereços à lista de autorizações do seu proxy
Se a sua organização exigir que o tráfego de saída passe por um servidor proxy, adicione as seguintes moradas à lista de autorizações no servidor proxy. Tenha em atenção que
www.googleapis.com é necessário, em vez de googleapis.com:
- dl.google.com 1
- gcr.io
- www.googleapis.com
- accounts.google.com
- anthos.googleapis.com
- anthosgke.googleapis.com
- cloudresourcemanager.googleapis.com
- compute.googleapis.com
- connectgateway.googleapis.com
- container.googleapis.com
- gkeconnect.googleapis.com 2
- gkehub.googleapis.com
- gkeonprem.googleapis.com
- gkeonprem.mtls.googleapis.com
- iam.googleapis.com
- iamcredentials.googleapis.com
- kubernetesmetadata.googleapis.com
- logging.googleapis.com
- monitoring.googleapis.com
- oauth2.googleapis.com
- opsconfigmonitoring.googleapis.com
- securetoken.googleapis.com
- servicecontrol.googleapis.com
- serviceusage.googleapis.com
- storage.googleapis.com
- sts.googleapis.com
- releases.hashicorp.com (opcional) 3
Notas:
1 O dl.google.com é necessário para o Google Cloud
instalador do SDK.
2 Se o cluster foi registado na frota
usando uma Google Cloud região, tem de adicionar à lista de autorizações
REGION-gkeconnect.googleapis.com (por
exemplo, us-central1-gkeconnect.googleapis.com). Se não especificou uma
região, o cluster usa a instância do serviço Connect global, e tem de
adicionar gkeconnect.googleapis.com à lista de autorizações. Se precisar de encontrar a localização de um membro da frota do seu cluster, execute gcloud container fleet memberships list. Para
mais informações, consulte
gkeConnect.location.
3 Se não usar o cliente Terraform na sua estação de trabalho de administrador para executar comandos como terraform apply, não precisa de adicionar releases.hashicorp.com à lista de autorizações. Se usar o cliente Terraform na sua estação de trabalho de administrador, pode, opcionalmente, adicionar à lista de autorizações releases.hashicorp.com para poder verificar se a versão do cliente Terraform que está a usar é a mais recente executando o comando terraform version.
Além disso, se o seu vCenter Server tiver um endereço IP externo, adicione o endereço à lista de autorizações no servidor proxy.
Regras de firewall para clusters de administrador
Os endereços IP do cluster de administrador dependem se o Controlplane V2 está ativado no cluster de utilizador e da versão em que o cluster foi criado.
Quando o Controlplane V2 está ativado, o plano de controlo de um cluster de utilizador é executado no próprio cluster de utilizador. Quando o Controlplane V2 não está ativado, o plano de controlo para um cluster de utilizadores é executado num ou mais nós no cluster de administrador, o que se denomina kubeception.
Na versão 1.28 e superior, os novos clusters de administrador de HA não têm nós de suplementos.
Os endereços IP dos nós suplementares do cluster de administrador (se existirem) e dos nós do painel de controlo do cluster de utilizador do kubeception estão listados no ficheiro de blocos de IP do cluster de administrador. Os nós do plano de controlo do cluster de administrador estão configurados na secção network.controlPlaneIPBlock.ips no ficheiro de configuração do cluster de administrador.
Uma vez que os endereços IP no ficheiro de bloco de IPs do cluster de administrador não estão atribuídos a nós específicos, tem de se certificar de que todas as regras de firewall indicadas na tabela seguinte se aplicam a todos os endereços IP disponíveis para o cluster de administrador.
Configure as regras de firewall para permitir o seguinte tráfego.
De |
Porta de origem |
Para |
Porta |
Protocolo |
Descrição |
|---|---|---|---|---|---|
|
Nó do plano de controlo do cluster de administrador |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
Redimensionamento do cluster. |
|
Nós de suplementos do cluster de administrador |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
Gestão do ciclo de vida do cluster de utilizadores. |
|
Nós de suplementos do cluster de administrador |
32768- 60999 |
VIP do servidor da API Kubernetes do cluster de administrador VIPs dos servidores da API Kubernetes dos clusters de utilizadores |
443 |
TCP/https |
Criação de cluster de utilizadores. Atualização do cluster de utilizadores. Atualização do cluster de utilizadores. Eliminação do grupo de utilizadores. |
|
Nós do plano de controlo do cluster de administração |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualquer URL *.googleapis.com necessário para os serviços ativados para os clusters de administrador ou de utilizador VIPs dos servidores da API Kubernetes dos clusters de utilizador VIP do servidor da API Kubernetes do cluster de administrador API do servidor vCenter API F5 BIG_IP do cluster de administrador API F5 BIG_IP do cluster de utilizador Servidores NTP do cluster de administrador Servidores NTP do cluster de utilizador Servidores DNS do cluster de administrador Servidores DNS do cluster de utilizador |
443 |
TCP/https |
Verificações prévias (validação). Quando cria, atualiza ou atualiza clusters de utilizadores. Quando cria, atualiza ou atualiza o cluster de administrador. |
|
Nós do plano de controlo do cluster de administrador |
32768- 60999 |
Cluster do utilizador no registo Docker local no local |
Depende do seu registo |
TCP/https |
Verificações prévias (validação). Obrigatório se um cluster de utilizadores estiver configurado para usar um registo Docker privado local em vez de gcr.io. Quando cria ou atualiza clusters de utilizadores. Quando cria ou atualiza o cluster de administrador. |
|
Nós do plano de controlo do cluster de administração |
32768- 60999 |
Nós do cluster de administrador Nós do cluster de utilizadores VIPs do balanceador de carga do cluster de administrador VIPs do balanceador de carga do cluster de utilizadores |
icmp |
Verificações prévias (validação). Quando cria, atualiza ou atualiza clusters de utilizadores. Quando cria, atualiza ou atualiza o cluster de administrador. |
|
|
Nós do plano de controlo do cluster de administração |
32768- 60999 |
Nós trabalhadores do cluster de utilizadores |
22 |
ssh |
Verificações prévias (validação). Quando atualiza clusters de utilizadores. Quando atualiza o cluster de administrador. |
|
Nó do plano de controlo do cluster de utilizadores (apenas kubeception) |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
Redimensionamento do cluster. |
|
Nó do plano de controlo do cluster de utilizadores (apenas kubeception) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com ou REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
É necessário acesso para o registo da frota. Consulte a nota 2 após a lista de URLs a incluir na lista de autorizações. |
|
Nó do plano de controlo do cluster de utilizadores (apenas kubeception) |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nó do plano de controlo do cluster de utilizadores (apenas kubeception) |
1024 - 65535 |
Registo Docker local no local |
Depende do seu registo |
TCP/https |
Obrigatório se o Google Distributed Cloud estiver configurado para usar um registo Docker privado local em vez de gcr.io. |
|
Nó do plano de controlo do cluster de utilizadores (apenas kubeception) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualquer URL *.googleapis.com necessário para os serviços ativados para o cluster de administrador |
443 |
TCP/https |
Transferir imagens de registos públicos do Docker. Não é necessário se usar um registo privado do Docker. |
|
O coletor do Cloud Logging, que é executado num nó do suplemento do cluster de administrador |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
O Cloud Metadata Collector, que é executado num nó de suplemento do cluster de administrador |
1024 - 65535 |
opsconfigmonitoring.googleapis.com |
443 |
TCP/https |
|
|
O coletor do Cloud Monitoring, que é executado num nó do suplemento do cluster de administrador |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nó do plano de controlo do cluster de administrador |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nó do plano de controlo do cluster de administrador |
1024 - 65535 |
Registo Docker local no local |
Depende do seu registo |
TCP/https |
Obrigatório se o Google Distributed Cloud estiver configurado para usar um registo Docker privado local em vez de gcr.io. |
|
Nó do plano de controlo do cluster de administrador |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualquer URL *.googleapis.com necessário para os serviços ativados para o cluster de administrador |
443 |
TCP/https |
Transferir imagens de registos públicos do Docker. Não é necessário se usar um registo privado do Docker. |
|
Nós trabalhadores do cluster de administrador |
1024 - 65535 |
Nós trabalhadores do cluster de administrador |
Tudo |
179 - bgp 443 – https 5473 - Calico/Typha 9443 – Métricas do Envoy 10250 – Porta de nó do kubelet |
Todos os nós de trabalho têm de estar adjacentes à camada 2 e sem firewall. |
|
Administre nós de cluster |
1024 - 65535 |
CIDR do pod do cluster de administrador |
todos |
qualquer |
O tráfego externo recebe SNAT no primeiro nó e é enviado para o IP do pod. |
|
Nós trabalhadores do cluster de administrador |
todos |
Nós do cluster de utilizadores |
22 |
ssh |
Obrigatório para o kubeception. Comunicação do servidor de API para o kubelet através de um túnel SSH. Deve ignorar este passo para o Controlplane V2. |
|
Administre nós de cluster |
1024 - 65535 |
IPs das VMs do LB do Seesaw do cluster de administrador |
20255,20257 |
TCP/http |
Envio da configuração do LB e monitorização de métricas. Só é necessário se estiver a usar o Bundled LB Seesaw. |
|
Administre nós de cluster |
1024 - 65535 |
Administre nós de cluster |
7946 |
TCP/UDP |
Verificação de funcionamento do MetalLB. Só é necessário se estiver a usar o Bundled LB MetalLB. |
|
Administre nós de cluster |
Tudo |
VIP do plano de controlo do cluster de utilizadores |
443 |
https |
Obrigatório para o Controlplane V2. Permitir que os nós e os pods no cluster de administrador comuniquem com o servidor da API Kubernetes do cluster de utilizador. |
|
Administre nós de cluster |
Tudo |
Nós do plano de controlo do cluster de utilizadores |
443 |
https |
Obrigatório para o Controlplane V2. Permitir que os nós e os pods no cluster de administrador comuniquem com o servidor da API Kubernetes do cluster de utilizador através do endereço IP de um nó do plano de controlo do cluster de utilizador. |
Regras de firewall para nós do cluster de utilizadores
Nos nós do cluster de utilizadores, os respetivos endereços IP estão listados no ficheiro de blocos de IP.
Tal como acontece com os nós do cluster de administrador, não sabe que endereço IP vai ser usado para que nó. Assim, todas as regras nos nós do cluster de utilizadores aplicam-se a cada nó do cluster de utilizadores.
De |
Porta de origem |
Para |
Porta |
Protocolo |
Descrição |
|---|---|---|---|---|---|
|
Nó do plano de controlo do cluster de utilizadores (apenas Controlplane V2) |
1024 - 65535 |
vCenter Server API |
443 |
TCP/https |
Redimensionamento do cluster. |
|
Nó do plano de controlo do cluster de utilizadores (apenas Controlplane V2) |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com ou REGION-gkeconnect.googleapis.com gkehub.googleapis.com |
443 |
TCP/https |
É necessário acesso para o registo da frota. Consulte a nota 2 após a lista de URLs a incluir na lista de autorizações. |
|
Nó do plano de controlo do cluster de utilizadores (apenas Controlplane V2) |
1024 - 65535 |
Registo Docker local no local |
Depende do seu registo |
TCP/https |
Obrigatório se o Google Distributed Cloud estiver configurado para usar um registo Docker privado local em vez de gcr.io. |
|
Nó do plano de controlo do cluster de utilizadores (apenas Controlplane V2) |
1024 - 65535 |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualquer URL *.googleapis.com necessário para os serviços ativados para o cluster de administrador |
443 |
TCP/https |
Transferir imagens de registos públicos do Docker. Não é necessário se usar um registo privado do Docker. |
|
Nó do plano de controlo do cluster de utilizadores (apenas Controlplane V2) |
1024 - 65535 |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nós trabalhadores do cluster de utilizadores |
todos |
gcr.io oauth2.googleapis.com storage.googleapis.com Qualquer URL *.googleapis.com necessário para os serviços ativados para este cluster |
443 |
TCP/https |
Transferir imagens de registos públicos do Docker. Não é necessário se usar um registo privado do Docker. |
|
Nós trabalhadores do cluster de utilizadores |
todos |
API F5 BIG-IP |
443 |
TCP/https |
|
|
Nós trabalhadores do cluster de utilizadores |
todos |
O VIP do servidor pushprox, que é executado no cluster de administração. |
8443 |
TCP/https |
Tráfego do Prometheus. |
|
Nós trabalhadores do cluster de utilizadores |
todos |
Nós trabalhadores do cluster de utilizadores |
todos |
22 – ssh 179 - bgp 443 – https 5473 - calico-typha 9443 – envoy metrics 10250 - kubelet node port" |
Todos os nós de trabalho têm de estar adjacentes à camada 2 e sem firewall. |
|
Nós trabalhadores do cluster de utilizadores |
todos |
VIP do plano de controlo do utilizador |
443 |
TCP/https |
|
|
Nós trabalhadores do cluster de utilizadores |
Tudo |
VIP do plano de controlo do utilizador |
8132 |
GRPC |
Obrigatório para o kubeception. Ligação Konnectivity. Deve ignorar este passo para o Controlplane V2. |
|
Administre nós de cluster |
Tudo |
Servidor vCenter do cluster de utilizadores |
443 |
https |
Permitir que o cluster de administrador faça a gestão do ciclo de vida do cluster de utilizador. Obrigatório se os clusters de administrador e de utilizador tiverem servidores vCenter diferentes. |
|
Nós do cluster de utilizadores |
1024 - 65535 |
CIDR de pods do cluster de utilizadores |
todos |
qualquer |
O tráfego externo recebe SNAT no primeiro nó e é enviado para o IP do pod. |
|
O coletor do Cloud Logging, que é executado num nó de trabalho do cluster de utilizadores aleatório |
1024 - 65535 |
oauth2.googleapis.com logging.googleapis.com servicecontrol.googleapis.com www.googleapis.com |
443 |
TCP/https |
|
|
Agente de ligação, que é executado num nó de trabalho de cluster de utilizadores aleatório. |
1024 - 65535 |
cloudresourcemanager.googleapis.com gkeconnect.googleapis.com ou REGION-gkeconnect.googleapis.com gkehub.googleapis.com www.googleapis.com iam.googleapis.com iamcredentials.googleapis.com oauth2.googleapis.com securetoken.googleapis.com sts.googleapis.com accounts.google.com |
443 |
TCP/https |
Associar tráfego. Consulte a nota 2 após a lista de URLs a adicionar à lista de autorizações. |
|
O Cloud Metadata Collector, que é executado num nó de trabalho do cluster de utilizadores aleatório |
1024 - 65535 |
opsconfigmonitoring.googleapis.com kubernetesmetadata.googleapis.com |
443 |
TCP/https |
|
|
O coletor do Cloud Monitoring, que é executado num nó de trabalho do cluster de utilizadores aleatório |
1024 - 65535 |
oauth2.googleapis.com monitoring.googleapis.com |
443 |
TCP/https |
|
|
Nós do cluster de utilizadores |
1024 - 65535 |
IPs das VMs do LB do Seesaw do cluster de utilizadores |
20255,20257 |
TCP/http |
Envio da configuração do LB e monitorização de métricas. Só é necessário se estiver a usar o Bundled LB Seesaw. |
|
Os utilizadores agrupam nós com enableLoadBalancer=true |
1024 - 65535 |
Os utilizadores agrupam nós com enableLoadBalancer=true |
7946 |
TCP/UDP |
Verificação de funcionamento do MetalLB. Só é necessário se estiver a usar o Bundled LB MetalLB. |
|
Rede do cluster de utilizadores |
todos |
VIP do plano de controlo do cluster de utilizadores |
443 |
TCP/https |
Regras de firewall para os restantes componentes
Estas regras aplicam-se a todos os outros componentes não listados nas tabelas para os nós do cluster de administrador e do cluster de utilizador.
De |
Porta de origem |
Para |
Porta |
Protocolo |
Descrição |
|---|---|---|---|---|---|
|
CIDR do pod do cluster de administrador |
1024 - 65535 |
CIDR do pod do cluster de administrador |
todos |
qualquer |
O tráfego entre pods faz o encaminhamento L2 diretamente através do IP de origem e destino no CIDR do pod. |
|
CIDR do pod do cluster de administrador |
1024 - 65535 |
Administre nós de cluster |
todos |
qualquer |
Tráfego de retorno do tráfego externo. |
|
CIDR de pods do cluster de utilizadores |
1024 - 65535 |
CIDR de pods do cluster de utilizadores |
todos |
qualquer |
O tráfego entre pods faz o encaminhamento L2 diretamente através do IP de origem e destino no CIDR do pod. |
|
CIDR de pods do cluster de utilizadores |
1024 - 65535 |
Nós do cluster de utilizadores |
todos |
qualquer |
Tráfego de retorno do tráfego externo. |
|
Clientes e utilizadores finais da aplicação |
todos |
VIP de entrada do Istio |
80 443 |
TCP |
Tráfego do utilizador final para o serviço de entrada de um cluster de utilizadores. |
|
Servidor de acesso rápido para implementar a estação de trabalho de administração |
intervalo de portas efémeras |
API vCenter Server IPs VMkernel (mgt) do ESXi de anfitriões no cluster de destino |
443 |
TCP/https |
Verifique o intervalo de portas efémeras a partir de `cat /proc/sys/net/ipv4/ip_local_port_range`. |
|
Estação de trabalho do administrador |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com oauth2.googleapis.com storage.googleapis.com Qualquer URL *.googleapis.com necessário para os serviços ativados para este cluster |
443 |
TCP/https |
Transferir imagens do Docker de registos públicos do Docker. |
|
Estação de trabalho do administrador |
32768- 60999 |
gcr.io cloudresourcemanager.googleapis.com compute.googleapis.com iam.googleapis.com oauth2.googleapis.com serviceusage.googleapis.com storage.googleapis.com Qualquer URL *.googleapis.com necessário para os serviços ativados para os clusters de administrador ou de utilizador VIPs dos servidores da API Kubernetes dos clusters de utilizador VIP do servidor da API Kubernetes do cluster de administrador API do servidor vCenter API F5 BIG-IP |
443 |
TCP/https |
Verificações prévias (validação). Quando cria, atualiza, atualiza ou elimina
clusters através do |
|
Estação de trabalho do administrador |
32768- 60999 |
vCenter Server API API F5 BIG-IP |
443 |
TCP/https |
Criação do cluster de administrador. Criação de cluster de utilizadores. |
|
Estação de trabalho do administrador |
32768- 60999 |
IPs do VMkernel (mgt) do ESXi dos anfitriões no cluster de destino |
443 |
TCP/https |
A estação de trabalho do administrador carrega o OVA para o repositório de dados através dos anfitriões ESXi. |
|
Estação de trabalho do administrador |
32768- 60999 |
VIP do servidor da API Kubernetes do cluster de administrador VIPs dos servidores da API Kubernetes dos clusters de utilizadores |
443 |
TCP/https |
Criação do cluster de administrador. Atualização do cluster de administrador. Criação de cluster de utilizadores. Atualização do cluster de utilizadores. Eliminação do grupo de utilizadores. |
|
Estação de trabalho do administrador |
32768- 60999 |
Nó do plano de controlo do cluster de administrador e nós trabalhadores |
443 |
TCP/https |
Criação do cluster de administrador. Atualizações do plano de controlo. |
|
Estação de trabalho do administrador |
32768- 60999 |
Todos os nós do cluster de administrador e todos os nós do cluster de utilizador |
443 |
TCP/https |
Validação da rede como parte do comando |
|
Estação de trabalho do administrador |
32768- 60999 |
VIP da entrada do Istio do cluster de administrador VIP do acesso de entrada do Istio dos clusters de utilizadores |
443 |
TCP/https |
Validação da rede como parte do comando |
|
Estação de trabalho do administrador |
32768- 60999 |
oauth2.googleapis.com logging.googleapis.com monitoring.googleapis.com servicecontrol.googleapis.com storage.googleapis.com www.googleapis.com |
443 |
TCP/https |
Acesso ao registo e monitorização na nuvem. |
|
Estação de trabalho do administrador |
32768- 60999 |
IPs de VMs do LB do Seesaw em clusters de administrador e de utilizador VIPs do Seesaw LB dos clusters de administrador e de utilizador |
20256,20258 |
TCP/http/gRPC |
Verificação de funcionamento dos LBs. Só é necessário se estiver a usar o Seesaw de LB agrupado. |
|
Estação de trabalho do administrador |
32768- 60999 |
IP do nó do painel de controlo do cluster |
22 |
TCP |
Obrigatório se precisar de acesso SSH da estação de trabalho do administrador ao plano de controlo do cluster de administrador. |
| Estação de trabalho do administrador | 32768- 60999 | releases.hashicorp.com | 443 | TCP/https | Opcional. Consulte a nota 3 após a lista de URLs a adicionar à lista de autorizações. |
|
IPs de VMs de SL |
32768- 60999 |
IPs dos nós do cluster correspondente |
10256: node health check |
TCP/http |
Verificação do estado do nó. healthCheckNodePort destina-se a serviços com externalTrafficPolicy definido como Local. Só é necessário se estiver a usar o Seesaw de LB agrupado. |
|
F5 Self-IP |
1024 - 65535 |
Todos os nós de cluster de administrador e de utilizador |
30000 - 32767 |
qualquer |
Para o tráfego do plano de dados que o F5 BIG-IP equilibra a carga através de um VIP do servidor virtual para as portas dos nós nos nós do cluster do Kubernetes. Normalmente, o IP automático F5 está na mesma rede/sub-rede que os nós do cluster do Kubernetes. |