Automatisch erstellte Firewallregeln

Auf dieser Seite werden die Firewallregeln beschrieben, die von Google Kubernetes Engine (GKE) automatisch in Google Cloud erstellt werden.

Zusätzlich zu den auf dieser Seite aufgeführten GKE-spezifischen Regeln enthalten Google Cloud-Standardprojekte mehrere vorkonfigurierte Firewallregeln.

Firewallregeln

GKE erstellt automatisch Firewallregeln, wenn folgende Ressourcen erstellt werden:

  • GKE-Cluster
  • GKE-Services
  • GKE-Ingress-Ressourcen

Die Priorität für alle automatisch erstellten Firewallregeln lautet 1000. Dies ist der Standardwert für Firewallregeln. Wenn Sie das Firewallverhalten genauer steuern möchten, können Sie Firewallregeln mit einer höheren Priorität erstellen. Firewallregeln mit einer höheren Priorität werden vor automatisch erstellten Firewallregeln angewendet.

GKE-Firewallregeln für Cluster

GKE erstellt die folgenden Firewallregeln für eingehenden Traffic, wenn ein Cluster erstellt wird:

Name Zweck Quelle Ziel Protokoll und Ports
gke-[cluster-name]-[cluster-hash]-master Nur für private Cluster. Gewährt der Steuerungsebene Zugriff auf das Kubelet und den Messwertserver auf Clusterknoten. Master-CIDR (/28) Knoten-Tag TCP: 443 (Messwertserver) und TCP: 10250 (Kubelet)
gke-[cluster-name]-[cluster-hash]-ssh Nur für öffentliche Cluster. Gewährt der Steuerungsebene Zugriff auf das Kubelet und den Messwertserver auf Clusterknoten.

Bei zonalen Clustern die öffentliche Master-IP-Adresse. Dies entspricht dem Wert des Clusterendpunkts.

Bei regionalen Clustern die öffentlichen Master-IP-Adressen. Diese Werte sind nicht mit den Clusterendpunkten identisch.

Knoten-Tag TCP: 22
gke-[cluster-name]-[cluster-hash]-vms Erlaubt den Agents auf einem Knoten, wie System-Daemons und Kubelet, gemäß dem Kubernetes-Netzwerkmodell mit Pods auf einem Knoten zu kommunizieren. Erlaubt Pods im Hostnetzwerk eines Knotens, mit allen Pods auf allen Knoten ohne NAT zu kommunizieren. Erlaubt anderen VMs in einer VPC, mit Knoten zu kommunizieren. Knoten-CIDR, 10.128.0.0/9 (automatische Netzwerke), Clustersubnetz (benutzerdefinierte Netzwerke) Knoten-Tag TCP: 1–65535, UDP: 1–65535, ICMP
gke-[cluster-name]-[cluster-hash]-all Lässt Traffic zwischen allen Pods in einem Cluster gemäß dem Kubernetes-Netzwerkmodell zu.

Pod-CIDR

Bei Clustern mit aufeinanderfolgender Multi-Pod-CIDR werden alle vom Cluster verwendeten Pod-CIDR-Blöcke verwendet.

Knoten-Tag TCP, UDP, SCTP, ICMP, ESP, AH

GKE-Firewallregeln für Services

GKE erstellt die folgenden Firewallregeln für eingehenden Traffic, wenn ein Service erstellt wird:

Name Zweck Quelle Ziel Protokoll und Ports
k8s-fw-[loadbalancer-hash] Lässt eingehenden Traffic zu einem Service zu. Wird im Service-Manifest angegeben. Die Standardeinstellung ist 0.0.0.0/0 (beliebige Quelle). Knoten-Tag TCP und UDP an den im Service-Manifest angegebenen Ports
k8s-[cluster-id]-node-http-hc Ermöglicht Systemdiagnosen eines Netzwerk-Load-Balancer-Dienstes, wenn externalTrafficPolicy auf Cluster gesetzt ist.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Knoten-Tag TCP: 10256
k8s-[loadbalancer-hash]-http-hc Ermöglicht Systemdiagnosen eines Netzwerk-Load-Balancer-Dienstes, wenn externalTrafficPolicy auf Local gesetzt ist.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Knoten-Tag TCP an dem in der Systemdiagnose NodePort angegebenen Port.
k8s-[cluster-id]-node-hc Erlaubt Systemdiagnosen eines internen TCP/UDP-Load-Balancers, wenn externalTrafficPolicy auf Cluster festgelegt ist.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Knoten-Tag TCP: 10256
[loadbalancer-hash]-hc Erlaubt Systemdiagnosen eines internen TCP/UDP-Load-Balancers, wenn externalTrafficPolicy auf Local festgelegt ist.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Knoten-Tag TCP an dem in der Systemdiagnose NodePort angegebenen Port.
k8s2-[cluster-id]-[namespace]-[service-name]-[suffixhash] Lässt eingehenden Traffic zu einem Service zu, wenn die Einstellung für den internen Load-Balancer aktiviert ist. Wird im Service-Manifest angegeben. Die Standardeinstellung ist 0.0.0.0/0 (beliebige Quelle). Knoten-Tag TCP und UDP an den im Service-Manifest angegebenen Ports
k8s2-[cluster-id]-[namespace]-[service-name]-[suffixhash]-fw Lässt Systemdiagnosen des Service zu, wenn externalTrafficPolicy auf Local und die Teilmengeneinstellung für internen Load-Balancer aktiviert ist.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Knoten-Tag TCP an dem in der Systemdiagnose NodePort angegebenen Port.
k8s2-[cluster-id]-l4-shared-hc Lässt Systemdiagnosen des Service zu, wenn externalTrafficPolicy auf Cluster und die Teilmengeneinstellung für internen Load-Balancer aktiviert ist.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Knoten-Tag TCP: 10256

GKE-Firewallregeln für Ingress-Ressourcen

GKE erstellt die folgenden Firewallregeln für eingehenden Traffic, wenn eine Ingress-Ressource erstellt wird:

Name Zweck Quelle Ziel Protokoll und Ports
k8s-fw-l7-[random-hash]

Lässt Systemdiagnosen von einem NodePort-Service oder einer Netzwerk-Endpunktgruppe (NEG) zu.

Der Ingress-Controller erstellt diese Regel, wenn die erste Ingress-Ressource erstellt wird. Der Ingress-Controller kann diese Regel aktualisieren, wenn weitere Ingress-Ressourcen erstellt werden.

Für GKE v1.17.13-gke.2600 oder höher:
  • 130.211.0.0/22
  • 35.191.0.0/16
  • Benutzerdefinierte Nur-Proxy-Subnetzbereiche (für interne HTTP(S)-Load-Balancer)
Knoten-Tag TCP: 30000–32767, TCP: 80 (für interne HTTP(S)-Load-Balancer), TCP: alle Container-Zielports (für NEGs)

Weitere Informationen