Esta página explica como o isolamento da rede e os controlos de acesso funcionam para o painel de controlo do cluster e os nós do cluster do Google Kubernetes Engine (GKE). Esta página substitui a página que descreve o conceito de clusters privados.
Existem dois aspetos a considerar quando decidir como configurar o isolamento da rede:
- Acesso ao plano de controlo, que se relaciona com quem pode aceder ao plano de controlo do cluster.
- Redes de clusters, que se relacionam com o isolamento de nós.
Esta página mostra-lhe como controlar e personalizar quem pode aceder ao plano de controlo do cluster e aos nós do cluster (num cluster Standard) ou às cargas de trabalho (num cluster Autopilot). Esta personalização é relevante quando está a decidir a configuração de rede para o seu cluster. Para aceder diretamente à definição da configuração de rede, consulte o artigo Personalize o isolamento da rede.
Planeie e crie a configuração de isolamento da rede com os arquitetos de rede, os engenheiros de rede, os administradores de rede ou outra equipa da sua organização responsável pela definição, implementação e manutenção da arquitetura de rede.
Acesso ao plano de controlo
Nesta secção, vai considerar quem pode aceder ao seu plano de controlo.
Todos os clusters do GKE têm um plano de controlo que processa pedidos da API Kubernetes. O plano de controlo é executado numa máquina virtual (VM) que se encontra numa rede VPC num projeto gerido pela Google. Um cluster regional tem várias réplicas do plano de controlo, cada uma das quais é executada na sua própria VM.
O plano de controlo tem dois tipos de pontos finais para acesso ao cluster:
- Ponto final baseado em DNS
- Pontos finais baseados em IP
Use apenas o ponto final baseado em DNS para aceder ao seu plano de controlo para uma configuração simplificada e uma camada de segurança flexível e baseada em políticas.
Ponto final baseado em DNS
O ponto final baseado em DNS fornece um DNS ou um nome de domínio totalmente qualificado (FQDN) exclusivo para cada plano de controlo do cluster. Este nome DNS pode ser usado para aceder ao seu plano de controlo. O nome DNS é resolvido para um ponto final acessível a partir de qualquer rede acessível por Google Cloud APIs, incluindo redes locais ou outras redes na nuvem. A ativação do ponto final baseado em DNS elimina a necessidade de um anfitrião de baluarte ou nós proxy para aceder ao plano de controlo a partir de outras redes VPC ou localizações externas.
Para aceder ao ponto final do plano de controlo, tem de configurar funções e políticas do IAM, bem como tokens de autenticação. Para mais detalhes sobre as autorizações exatas necessárias, consulte o artigo Personalize o isolamento da rede.
Além das políticas e dos tokens de IAM, também pode configurar os seguintes atributos de acesso:
Endereço IP ou controlos baseados na rede com os VPC Service Controls: para melhorar a segurança do plano de controlo do cluster do GKE, os VPC Service Controls adicionam outra camada de segurança de acesso. Usa o acesso sensível ao contexto com base em atributos como a origem da rede.
Os VPC Service Controls não suportam diretamente clusters com endereços IP públicos para o respetivo plano de controlo. No entanto, os clusters do GKE, incluindo clusters privados e públicos, ganham proteção dos VPC Service Controls quando acede aos mesmos através do ponto final baseado em DNS.
Configura o VPC Service Controls para proteger o ponto final baseado em DNS do cluster do GKE incluindo
container.googleapis.comekubernetesmetadata.googleapis.comna lista de serviços restritos do perímetro de serviço. A adição destas APIs ao seu perímetro de serviço vai ativar os VPC-SC para todas as operações da API GKE. Esta configuração ajuda a garantir que os perímetros de segurança definidos regem o acesso ao plano de controlo.Ao usar políticas de IAM e VPC Service Controls para proteger o acesso ao ponto final baseado em DNS, cria um modelo de segurança de várias camadas para o plano de controlo do cluster. Os VPC Service Controls integram-se com os serviços suportados Google Cloud . Alinha a configuração de segurança do cluster com os dados que aloja noutros serviços Google Cloud .
Private Service Connect ou Cloud NAT: para aceder ao ponto final baseado em DNS a partir de clientes que não têm acesso público à Internet. Por predefinição, o ponto final baseado em DNS é acessível através de Google Cloud APIs que estão disponíveis na Internet pública. Para saber mais, consulte o artigo Ponto final baseado em DNS na página Personalize o isolamento de rede.
Pontos finais baseados em IP
Opcionalmente, também pode configurar o acesso ao plano de controlo através de pontos finais baseados em IP.
Terminologia relacionada com clusters e endereços IP
Google Cloud endereços IP externos:
Os endereços IP externos atribuídos a qualquer VM usada por qualquer cliente alojado em Google Cloud. Google Cloud são propriedade da Google. Para saber mais, consulte o artigo Onde posso encontrar intervalos de IP do Compute Engine?
Endereços IP externos usados por Google Cloud produtos como o Cloud Run ou as funções do Cloud Run. Qualquer cliente alojado em Google Cloud pode instanciar estes endereços IP. Google Cloud é proprietário destes endereços IP.
Endereços IP reservados pela Google: endereços IP externos para fins de gestão de clusters do GKE. Estes endereços IP incluem processos geridos do GKE e outros serviços Google de produção. A Google é proprietária destes endereços IP.
Intervalos de endereços IP do cluster do GKE: endereços IP internos atribuídos ao cluster que o GKE usa para os nós, os pods e os serviços do cluster.
Endereços IP internos: endereços IP da rede VPC do seu cluster. Estes endereços IP podem incluir o endereço IP do cluster, as redes no local, os intervalos RFC 1918 ou os endereços IP públicos usados de forma privada (PUPI) que incluem intervalos não RFC 1918.
Ponto final externo: o endereço IP externo que o GKE atribui ao painel de controlo.
Ponto final interno: o endereço IP interno que o GKE atribui ao plano de controlo.
Rede VPC: uma rede virtual na qual cria sub-redes com intervalos de endereços IP especificamente para os nós e os pods do cluster.
Quando usa pontos finais baseados em IP, tem duas opções:
Exponha o painel de controlo nos pontos finais externos e internos. Isto significa que o ponto final externo do plano de controlo é acessível a partir de um endereço IP externo e o ponto final interno é acessível a partir da rede VPC do cluster. Os nós comunicam com o plano de controlo apenas no ponto final interno.
Exponha o painel de controlo apenas no ponto final interno. Isto significa que os clientes na Internet não podem estabelecer ligação ao cluster e o plano de controlo está acessível a partir de qualquer endereço IP da rede da VPC do cluster. Os nós comunicam com o plano de controlo apenas no ponto final interno.
Esta é a opção mais segura quando usa pontos finais baseados em IP, uma vez que impede todo o acesso à Internet ao plano de controlo. Esta é uma boa opção se tiver cargas de trabalho que, por exemplo, exijam acesso controlado devido a regulamentos de privacidade e segurança de dados.
Em ambas as opções anteriores, pode restringir os endereços IP que acedem aos pontos finais configurando redes autorizadas. Se usar pontos finais baseados em IP, recomendamos vivamente que adicione, pelo menos, uma rede autorizada. As redes autorizadas concedem acesso ao plano de controlo a um conjunto específico de endereços IPv4 fidedignos e oferecem proteção e vantagens de segurança adicionais para o seu cluster do GKE.
Ative redes autorizadas quando usar pontos finais baseados em IP para proteger o seu cluster do GKE.
Como funcionam as redes autorizadas
As redes autorizadas fornecem uma firewall baseada em IP que controla o acesso ao plano de controlo do GKE. O acesso ao plano de controlo depende dos endereços IP de origem. Quando ativa as redes autorizadas, configura os endereços IP para os quais quer permitir o acesso ao ponto final do plano de controlo do cluster do GKE como uma lista de blocos CIDR.
A tabela seguinte mostra:
- Os endereços IP predefinidos que podem sempre aceder ao painel de controlo do GKE, independentemente de ativar as redes autorizadas.
- Os endereços IP configuráveis que podem aceder ao plano de controlo quando os adiciona à lista de autorizações ativando as redes autorizadas.
| Pontos finais do plano de controlo | Endereços IP predefinidos que podem aceder sempre aos pontos finais | Endereço IP configurável que pode aceder aos pontos finais após a ativação das redes autorizadas |
|---|---|---|
| Pontos finais externos e internos ativados |
|
|
| Apenas o ponto final interno está ativado |
|
|
Com uma rede autorizada, também pode configurar a região a partir da qual um endereço IP interno pode alcançar o ponto final interno do seu plano de controlo. Pode optar por permitir o acesso apenas a partir da rede VPC do cluster ou a partir de qualquer Google Cloud região numa VPC ou num ambiente no local.
Limitações da utilização de pontos finais baseados em IP
- Se expandir uma sub-rede usada por um cluster com redes autorizadas, tem de atualizar a configuração da rede autorizada para incluir o intervalo de endereços IP expandido.
- Se tiver clientes a estabelecer ligação a partir de redes com endereços IP dinâmicos, como funcionários em redes domésticas, tem de atualizar frequentemente a lista de redes autorizadas para manter o acesso ao cluster.
- A desativação do acesso ao ponto final externo do painel de controlo impede a interação remota com o cluster. Se precisar de aceder remotamente ao cluster, tem de usar um anfitrião de bastião que encaminha o tráfego do cliente para o cluster. Por outro lado, a utilização de um ponto final baseado em DNS só requer a configuração de autorizações de IAM.
- Os pontos finais baseados em IP não se integram diretamente com o VPC Service Controls. Os VPC Service Controls operam ao nível do perímetro de serviço para controlar o acesso aos dados e o movimento dentro do Google Cloud. Recomendamos que use um ponto final baseado em DNS com os VPC Service Controls para uma defesa de segurança robusta.
- Pode especificar até 100 intervalos de endereços IP autorizados (incluindo endereços IP externos e internos).
Acesso à rede do cluster
Esta secção aborda o isolamento de nós num cluster do Kubernetes.
Ative os nós privados
Impedir que os clientes externos acedam aos nós aprovisionando esses nós apenas com endereços IP internos, tornando os nós privados. As cargas de trabalho executadas em nós sem um endereço IP externo não podem aceder à Internet, a menos que o NAT esteja ativado na rede do cluster. Pode alterar estas definições em qualquer altura.
Pode ativar nós privados ao nível de um cluster individual ou ao nível do conjunto de nós (para o modo Standard) ou da carga de trabalho (para o modo Autopilot). A ativação de nós privados ao nível do node pool ou da carga de trabalho substitui qualquer configuração de nós ao nível do cluster.
Se atualizar um node pool público para o modo privado, as cargas de trabalho que requerem acesso fora da rede do cluster podem falhar nos seguintes cenários:
Clusters numa rede de VPC partilhada onde o acesso privado à Google não está ativado. Ative manualmente o acesso privado à Google para garantir que o GKE transfere a imagem do nó atribuída. Para clusters que não estão numa rede de VPC partilhada, o GKE ativa automaticamente o acesso privado à Google.
Cargas de trabalho que requerem acesso à Internet onde o Cloud NAT não está ativado ou não está definida uma solução NAT personalizada. Para permitir o tráfego de saída para a Internet, ative o Cloud NAT ou uma solução NAT personalizada.
Independentemente de ativar ou não os nós privados, o plano de controlo continua a comunicar com todos os nós apenas através de endereços IP internos.
Vantagens do isolamento da rede
Seguem-se as vantagens do isolamento da rede:
Flexibilidade:
- Os clusters têm uma configuração unificada e flexível. Os clusters com ou sem pontos finais externos partilham a mesma arquitetura e suportam a mesma funcionalidade. Pode proteger o acesso com base em controlos e práticas recomendadas que satisfazem as suas necessidades. Todas as comunicações entre os nós no seu cluster e o plano de controlo usam um endereço IP interno.
- Pode alterar as definições de acesso ao plano de controlo e de configuração dos nós do cluster em qualquer altura sem ter de recriar o cluster.
- Pode optar por ativar o ponto final externo do plano de controlo se precisar de gerir o cluster a partir de qualquer localização com acesso à Internet ou a partir de redes ou dispositivos que não estejam diretamente ligados à sua VPC. Em alternativa, pode desativar o ponto final externo para uma segurança melhorada se precisar de manter o isolamento da rede para cargas de trabalho confidenciais. Em qualquer dos casos, pode usar redes autorizadas para limitar o acesso a intervalos de IP fidedignos.
Segurança:
- Os pontos finais baseados em DNS com VPC Service Controls oferecem um modelo de segurança de várias camadas que protege o seu cluster contra redes não autorizadas, bem como identidades não autorizadas que acedem ao plano de controlo. Os VPC Service Controls integram-se com os registos de auditoria do Google Cloud para monitorizar o acesso ao plano de controlo.
- Os nós privados e as cargas de trabalho executadas nestes nós não são diretamente acessíveis a partir da Internet pública, o que reduz significativamente o potencial de ataques externos ao seu cluster.
- Pode bloquear o acesso ao plano de controlo a partir de Google Cloud endereços IP externos ou de endereços IP externos para isolar totalmente o plano de controlo do cluster e reduzir a exposição a potenciais ameaças de segurança.
Conformidade: se trabalhar numa indústria com regulamentos rigorosos para o acesso e o armazenamento de dados, os nós privados ajudam na conformidade, garantindo que os dados confidenciais permanecem na sua rede privada.
Controlo: os nós privados dão-lhe um controlo detalhado sobre o fluxo de tráfego de entrada e saída do seu cluster. Pode configurar regras de firewall e políticas de rede para permitir apenas a comunicação autorizada. Se operar em ambientes com várias nuvens, os nós privados podem ajudar a estabelecer uma comunicação segura e controlada entre diferentes ambientes.
Custo: ao ativar os nós privados, pode reduzir os custos dos nós que não requerem um endereço IP externo para aceder a serviços públicos na Internet.
O que se segue?
- Saiba como personalizar o isolamento da rede.
- Saiba mais sobre o Private Service Connect.