Regras de firewall criadas automaticamente

Nesta página, você encontra as regras de firewall que o Google Kubernetes Engine (GKE) cria automaticamente no Google Cloud.

Além das regras específicas do GKE listadas nesta página, os projetos padrão do Google Cloud incluem várias regras de firewall pré-preenchidas.

Regras de firewall

O GKE cria regras de firewall automaticamente ao criar os recursos a seguir:

  • Clusters do GKE
  • Serviços do GKE
  • Entradas do GKE

A prioridade de todas as regras de firewall criadas automaticamente é 1.000, que é o valor padrão das regras de firewall. Para ter mais controle sobre o comportamento do firewall, crie regras de firewall com prioridade mais alta. As regras de firewall com prioridade mais alta são aplicadas antes da criação automática.

Regras de firewall do cluster do GKE

O GKE cria as seguintes regras de firewall de entrada ao criar um cluster:

Nome Finalidade Origem Destino Protocolo e portas
gke-[cluster-name]-[cluster-hash]-master Apenas para clusters particulares. Permite que o plano de controle acesse o Kubelet e o Metrics Server nos nós do cluster. CIDR mestre (/28) Tag de nó TCP: 443 (Metrics Server) e TCP: 10250 (Kubelet)
gke-[cluster-name]-[cluster-hash]-ssh Apenas para clusters públicos. Permite que o plano de controle acesse o Kubelet e o Metrics Server nos nós do cluster. IPs públicos mestres Tag de nó TCP: 22
gke-[cluster-name]-[cluster-hash]-vms Permite que os agentes em um nó, como daemons do sistema e Kubelet, se comuniquem com pods em um nó, conforme exigido pelo modelo de rede do Kubernetes. Permite que os pods na rede de host de um nó se comuniquem com todos os pods em todos os nós sem NAT. Permite que outras VMs em uma VPC se comuniquem com nós. CIDR do nó, 10.128.0.0/9 (redes automáticas), sub-rede de cluster (redes personalizadas) Tag de nó TCP: 1-65535, UDP: 1-65535, ICMP
gke-[cluster-name]-[cluster-hash]-all Permite tráfego entre todos os pods em um cluster, conforme exigido pelo modelo de rede do Kubernetes. CIDR do pod Tag de nó TCP, UDP, SCTP, ICMP, ESP, AH

Regras de firewall do serviço do GKE

O GKE cria as seguintes regras de firewall de entrada ao criar um Serviço:

Nome Finalidade Origem Destino Protocolo e portas
k8s-fw-[loadbalancer-hash] Permite que o tráfego de entrada chegue a um serviço. Especificado no manifesto do Serviço. O padrão é 0.0.0.0/0 (qualquer origem). Tag de nó TCP e UDP nas portas especificadas no manifesto do Serviço.
k8s-[cluster-id]-node-http-hc Permite verificações de integridade do Serviço quando externalTrafficPolicy está definido como Cluster. 130.211.0.0/22, 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22 Tag de nó TCP: 10256
k8s-fw-[loadbalancer-hash]-http-hc Permite verificações de integridade do Serviço quando externalTrafficPolicy está definido como Local. 130.211.0.0/22, 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22 Tag de nó Verificação de integridade de NodePort

Regras de firewall de entrada do GKE

O GKE cria as seguintes regras de firewall de entrada ao criar uma Entrada:

Nome Finalidade Origem Destino Protocolo e portas
k8s-fw-l7-[random-hash]

Permite verificações de integridade de um Serviço NodePort ou grupo de endpoints da rede (NEG).

O controlador de Entrada cria essa regra durante a criação do primeiro recurso de Entrada. O controlador de Entrada poderá atualizar essa regra se mais recursos de Entrada forem criados.

130.211.0.0/22, 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22 e intervalos de sub-rede somente proxy definidos pelo usuário (para balanceadores de carga HTTP(S) internos).

Para o GKE v1.17.13-gke.2600 ou posterior: 130.211.0.0/22, 35.191.0.0/16 e intervalos de sub-rede somente proxy definidos pelo usuário (para balanceadores de carga HTTP(S) internos).

Tag de nó TCP: 30000-32767, TCP:80 (para balanceadores de carga HTTP(S) internos), TCP: todas as portas de destino do contêiner (para NEGs)

A seguir