Regras de firewall criadas automaticamente

Nesta página, você encontra as regras de firewall que o Google Kubernetes Engine (GKE) cria automaticamente no Google Cloud.

Além das regras específicas do GKE listadas nesta página, os projetos padrão do Google Cloud incluem várias regras de firewall pré-preenchidas.

Regras de firewall

O GKE cria regras de firewall automaticamente ao criar os recursos a seguir:

  • Clusters do GKE
  • Serviços do GKE
  • Entradas do GKE

A prioridade de todas as regras de firewall criadas automaticamente é 1.000, que é o valor padrão das regras de firewall. Para ter mais controle sobre o comportamento do firewall, crie regras de firewall com prioridade mais alta. As regras de firewall com prioridade mais alta são aplicadas antes da criação automática.

Se você expandir uma sub-rede usada por um cluster, será necessário atualizar manualmente a regra de firewall criada automaticamente gke-[cluster-name]-[cluster-hash]-vms para o cluster com o intervalo de endereços IP expandido.

Regras de firewall do cluster do GKE

O GKE cria as seguintes regras de firewall de entrada ao criar um cluster:

Nome Finalidade Origem Destino Protocolo e portas
gke-[cluster-name]-[cluster-hash]-master Apenas para clusters particulares. Permite que o plano de controle acesse o Kubelet e o Metrics Server nos nós do cluster. CIDR mestre (/28) Tag de nó TCP: 443 (Metrics Server) e TCP: 10250 (Kubelet)
gke-[cluster-name]-[cluster-hash]-ssh Apenas para clusters públicos. Permite que o plano de controle acesse o Kubelet e o Metrics Server nos nós do cluster.

Para clusters zonais, o IP público mestre. Esse é o mesmo valor do endpoint do cluster.

Para clusters regionais, os IPs públicos mestres. Esses valores não são iguais aos endpoints do cluster.

Tag de nó TCP: 22
gke-[cluster-name]-[cluster-hash]-vms Permite que os agentes em um nó, como daemons do sistema e Kubelet, se comuniquem com pods em um nó, conforme exigido pelo modelo de rede do Kubernetes. Permite que os pods na rede de host de um nó se comuniquem com todos os pods em todos os nós sem NAT. Permite que outras VMs em uma VPC se comuniquem com nós. CIDR do nó, 10.128.0.0/9 (redes automáticas), sub-rede do cluster (redes personalizadas) Tag de nó TCP: 1-65535, UDP: 1-65535, ICMP
gke-[cluster-name]-[cluster-hash]-all Permite tráfego entre todos os pods em um cluster, conforme exigido pelo modelo de rede do Kubernetes.

CIDR do pod

Para clusters com o CIDR de vários pods descontínuos ativado, todos os blocos de CIDR de pod usados pelo cluster.

Tag de nó TCP, UDP, SCTP, ICMP, ESP, AH

Regras de firewall do serviço do GKE

O GKE cria as seguintes regras de firewall de entrada ao criar um Serviço:

Nome Finalidade Origem Destino Protocolo e portas
k8s-fw-[loadbalancer-hash] Permite que o tráfego de entrada chegue a um serviço. Especificado no manifesto do Serviço. O padrão é 0.0.0.0/0 (qualquer origem). Tag de nó TCP e UDP nas portas especificadas no manifesto do Serviço.
k8s-[cluster-id]-node-http-hc Permite verificações de integridade de um serviço de balanceador de carga de rede quando externalTrafficPolicy estiver definido como Cluster.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag de nó TCP: 10256
k8s-[loadbalancer-hash]-http-hc Permite verificações de integridade de um serviço de balanceador de carga de rede quando externalTrafficPolicy estiver definido como Local.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag de nó TCP na porta especificada pela verificação de integridade NodePort.
k8s-[cluster-id]-node-hc Permite verificações de integridade de um serviço de balanceador de carga TCP/UDP interno quando externalTrafficPolicy estiver definido como Cluster.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag de nó TCP: 10256
[loadbalancer-hash]-hc Permite verificações de integridade de um serviço de balanceador de carga TCP/UDP interno quando externalTrafficPolicy estiver definido como Local.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag de nó TCP na porta especificada pela verificação de integridade NodePort.
k8s2-[cluster-id]-[namespace]-[service-name]-[suffixhash] Permite que o tráfego de entrada chegue a um serviço quando a criação de subconjuntos do balanceador de carga interno estiver ativada. Especificado no manifesto do Serviço. O padrão é 0.0.0.0/0 (qualquer origem). Tag de nó TCP e UDP nas portas especificadas no manifesto do Serviço.
k8s2-[cluster-id]-[namespace]-[service-name]-[suffixhash]-fw Permite verificações de integridade do serviço quando externalTrafficPolicy estiver definido como Local e a subconfiguração do balanceador de carga interno estiver ativada.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag de nó TCP na porta especificada pela verificação de integridade NodePort.
k8s2-[cluster-id]-l4-shared-hc Permite verificações de integridade do serviço quando externalTrafficPolicy estiver definido como Cluster e a subconfiguração do balanceador de carga interno estiver ativada.
  • 130.211.0.0/22
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
Tag de nó TCP: 10256
gke-[cluster-name]-[cluster-hash]-mcsd Permite que o plano de controle acesse o kubelet e o servidor de métricas nos nós do cluster para os serviços de vários clusters. Essa regra tem uma prioridade de 900. Endereços IP de verificação de integridade Tag de nó TCP, UDP, SCTP, ICMP, ESP, AH

Regras de firewall de entrada do GKE

O GKE cria as seguintes regras de firewall de entrada ao criar uma Entrada:

Nome Finalidade Origem Destino Protocolo e portas
k8s-fw-l7-[random-hash]

Permite verificações de integridade de um Serviço NodePort ou grupo de endpoints da rede (NEG).

O controlador de Entrada cria essa regra durante a criação do primeiro recurso de Entrada. O controlador de Entrada poderá atualizar essa regra se mais recursos de Entrada forem criados.

Para o GKE v1.17.13-gke.2600 ou posterior:
  • 130.211.0.0/22
  • 35.191.0.0/16
  • Intervalos de sub-rede somente proxy definidos pelo usuário (para balanceadores de carga HTTP(S) internos).
Tag de nó TCP: 30000-32767, TCP:80 (para balanceadores de carga HTTP(S) internos), TCP: todas as portas de destino do contêiner (para NEGs)

A seguir