Règles de pare-feu créées automatiquement

Cette page décrit les règles de pare-feu que Google Kubernetes Engine (GKE) crée automatiquement dans Google Cloud.

Outre les règles spécifiques à GKE répertoriées sur cette page, les projets Google Cloud par défaut incluent plusieurs règles de pare-feu préremplies.

Règles de pare-feu

GKE crée automatiquement des règles de pare-feu lors de la création des ressources suivantes :

  • Clusters GKE
  • Services GKE
  • Ingress GKE

La priorité de toutes les règles de pare-feu créées automatiquement est de 1 000, qui est la valeur par défaut des règles de pare-feu. Si vous souhaitez mieux contrôler le comportement du pare-feu, vous pouvez créer des règles de pare-feu avec une priorité plus élevée. Les règles de pare-feu de priorité supérieure sont appliquées avant les règles de pare-feu créées automatiquement.

Règles de pare-feu de cluster GKE

GKE crée les règles de pare-feu d'entrée suivantes lors de la création d'un cluster :

Nom Usage Source Destination Protocole et ports
gke-[cluster-name]-[cluster-hash]-master Pour les clusters privés uniquement. Autorise le plan de contrôle à accéder à Kubelet et metrics-server sur les nœuds du cluster. CIDR maître (/28) Tag du nœud TCP : 443 (metrics-server) et TCP : 10250 (Kubelet)
gke-[cluster-name]-[cluster-hash]-ssh Pour les clusters publics uniquement. Autorise le plan de contrôle à accéder à Kubelet et metrics-server sur les nœuds du cluster.

Pour les clusters zonaux, l'adresse IP publique maître. Cette valeur est identique au point de terminaison de cluster.

Pour les clusters régionaux, les adresses IP publiques maîtres. Ces valeurs ne sont pas identiques aux points de terminaison du cluster.

Tag du nœud TCP : 22
gke-[cluster-name]-[cluster-hash]-vms Autorise les agents sur un nœud, tels que les daemons système et Kubelet, à communiquer avec les pods d'un nœud, comme requis par le modèle de mise en réseau Kubernetes. Autorise les pods du réseau hôte d'un nœud à communiquer avec tous les pods sur tous les nœuds sans NAT. Autorise d'autres VM d'un VPC à communiquer avec les nœuds. CIDR des nœuds, 10.128.0.0/9 (réseaux automatiques), sous-réseau de cluster (réseaux personnalisés) Tag du nœud TCP : 1-65535, UDP : 1-65535, ICMP
gke-[cluster-name]-[cluster-hash]-all Autorise le trafic entre tous les pods d'un cluster, selon les exigences du modèle de mise en réseau Kubernetes.

CIDR des pods

Pour les clusters comprenant un CIDR multipods non contigu activé, tous les blocs CIDR des pods sont utilisés par le cluster.

Tag du nœud TCP, UDP, SCTP, ICMP, ESP, AH

Règles de pare-feu de service GKE

GKE crée les règles de pare-feu d'entrée suivantes lors de la création d'un service :

Nom Usage Source Destination Protocole et ports
k8s-fw-[loadbalancer-hash] Autorise le trafic entrant à accéder à un service. Spécifié dans le fichier manifeste du service. La valeur par défaut est 0.0.0.0/0 (n'importe quelle source) Tag du nœud TCP et UDP sur les ports spécifiés dans le fichier manifeste du service.
k8s-[cluster-id]-node-http-hc Autorise les vérifications de l'état d'un service d'équilibreur de charge réseau lorsque externalTrafficPolicy est défini sur Cluster.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag du nœud TCP : 10256
k8s-[loadbalancer-hash]-http-hc Autorise les vérifications de l'état d'un service d'équilibreur de charge réseau lorsque externalTrafficPolicy est défini sur Local.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag du nœud TCP sur le port spécifié par la vérification de l'état NodePort.
k8s-[cluster-id]-node-hc Autorise les vérifications de l'état d'un service d'équilibreur de charge TCP/UDP interne lorsque externalTrafficPolicy est défini sur Cluster.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag du nœud TCP : 10256
[loadbalancer-hash]-hc Autorise les vérifications de l'état d'un service d'équilibreur de charge TCP/UDP interne lorsque externalTrafficPolicy est défini sur Local.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag du nœud TCP sur le port spécifié par la vérification de l'état NodePort.
k8s2-[cluster-id]-[namespace]-[service-name]-[suffixhash] Autorise le trafic entrant à accéder à un service lorsque le sous-paramètre de l'équilibreur de charge interne est activé. Spécifié dans le fichier manifeste du service. La valeur par défaut est 0.0.0.0/0 (n'importe quelle source) Tag du nœud TCP et UDP sur les ports spécifiés dans le fichier manifeste du service.
k8s2-[cluster-id]-[namespace]-[service-name]-[suffixhash]-fw Autorise les vérifications de l'état du service lorsque externalTrafficPolicy est défini sur Local et que le sous-paramètre de l'équilibreur de charge interne est activé.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag du nœud TCP sur le port spécifié par la vérification de l'état NodePort.
k8s2-[cluster-id]-l4-shared-hc Autorise les vérifications de l'état du service lorsque externalTrafficPolicy est défini sur Cluster et que le sous-paramètre de l'équilibreur de charge interne est activé.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag du nœud TCP : 10256
gke-[cluster-name]-[cluster-hash]-mcsd Autorise le plan de contrôle à accéder au kubelet ainsi qu'à metrics-server sur les nœuds de cluster pour les services multiclusters. Cette règle a une priorité de 900. Adresses IP de vérification d'état Tag du nœud TCP, UDP, SCTP, ICMP, ESP, AH

Règles de pare-feu d'Ingress GKE

GKE crée les règles de pare-feu d'entrée suivantes lors de la création d'un Ingress :

Nom Usage Source Destination Protocole et ports
k8s-fw-l7-[random-hash]

Autorise les vérifications d'état d'un service NodePort ou d'un groupe de points de terminaison du réseau (NEG).

Le contrôleur Ingress crée cette règle lors de la création de la première ressource Ingress. Le contrôleur Ingress peut mettre à jour cette règle si d'autres ressources Ingress sont créées.

Pour GKE v1.17.13-gke.2600 ou version ultérieure :
  • 130.211.0.0/22
  • 35.191.0.0/16
  • Plages de sous-réseaux proxy réservés définies par l'utilisateur (pour les équilibreurs de charge HTTP(S) internes).
Tag du nœud TCP : 30000-32767, TCP : 80 (pour les équilibreurs de charge HTTP(S) internes), TCP : tous les ports cibles de conteneurs (pour les NEG)

Étapes suivantes