À propos de l'isolation réseau dans GKE

---

Cette page explique le fonctionnement de l'isolation réseau et des contrôles d'accès pour le plan de contrôle et les nœuds de votre cluster Google Kubernetes Engine (GKE). Cette page remplace la page décrivant le concept de clusters privés.

Deux aspects sont à prendre en compte lorsque vous décidez de la configuration de l'isolation réseau:

• Accès au plan de contrôle, qui concerne les utilisateurs autorisés à accéder au plan de contrôle du cluster.
• Mise en réseau de clusters, qui consiste à isoler les nœuds.

Cette page vous explique comment contrôler et personnaliser les utilisateurs autorisés à accéder au plan de contrôle et aux nœuds du cluster (dans un cluster standard) ou aux charges de travail (dans un cluster Autopilot). Cette personnalisation est utile lorsque vous choisissez la configuration réseau de votre cluster. Pour définir directement votre configuration réseau, consultez Personnaliser l'isolation réseau.

Bonne pratique:

Planifiez et concevez votre configuration d'isolation réseau avec les architectes réseau, les ingénieurs réseau et les administrateurs réseau de votre organisation, ou une autre équipe chargée de la définition, de la mise en œuvre et de la maintenance de l'architecture réseau.

Accès au plan de contrôle

Dans cette section, vous allez déterminer qui peut accéder à votre plan de contrôle.

Chaque cluster GKE dispose d'un plan de contrôle qui gère les requêtes de l'API Kubernetes. Ce plan de contrôle s'exécute sur une machine virtuelle (VM) située dans un réseau VPC d'un projet géré par Google. Un cluster régional comporte plusieurs instances dupliquées du plan de contrôle, chacune s'exécutant sur sa propre VM.

Le plan de contrôle comporte deux types de points de terminaison pour l'accès au cluster:

• Point de terminaison basé sur le DNS
• Points de terminaison basés sur l'adresse IP

Bonne pratique :

Utilisez uniquement le point de terminaison basé sur le DNS pour accéder à votre plan de contrôle afin de simplifier la configuration et de bénéficier d'une couche de sécurité flexible et basée sur des règles.

Point de terminaison basé sur le DNS

Le point de terminaison basé sur le DNS fournit un DNS ou un nom de domaine complet (FQDN) unique pour chaque plan de contrôle de cluster. Ce nom DNS peut être utilisé pour accéder à votre plan de contrôle. Le nom DNS est résolu en un point de terminaison accessible depuis n'importe quel réseau accessible par les API Google Cloud , y compris les réseaux sur site ou d'autres réseaux cloud. L'activation du point de terminaison basé sur DNS élimine le besoin d'un hôte bastion ou de nœuds proxy pour accéder au plan de contrôle à partir d'autres réseaux VPC ou d'emplacements externes.

Pour accéder au point de terminaison du plan de contrôle, vous devez configurer des rôles et des stratégies IAM, ainsi que des jetons d'authentification. Pour en savoir plus sur les autorisations exactes requises, consultez Personnaliser l'isolation réseau.

En plus des stratégies et des jetons IAM, vous pouvez également configurer les attributs d'accès suivants:

• Contrôles basés sur l'adresse IP ou sur le réseau avec VPC Service Controls: pour sécuriser l'accès au plan de contrôle. VPC Service Controls ajoute une autre couche de sécurité d'accès avec un accès contextuel basé sur des attributs tels que l'origine du réseau. VPC Service Controls vous permet de configurer les réseaux pouvant accéder au point de terminaison DNS. L'utilisation à la fois de règles IAM et de VPC Service Controls pour sécuriser l'accès au point de terminaison basé sur le DNS fournit un modèle de sécurité multicouche pour votre plan de contrôle de cluster. VPC Service Controls est utilisé par toutes les API Google Cloud , ce qui aligne la configuration de sécurité de vos clusters sur vos données hébergées dans toutes les autres APIGoogle Cloud .

• Private Service Connect ou Cloud NAT: pour accéder au point de terminaison basé sur DNS à partir de clients qui n'ont pas accès à Internet public. Par défaut, le point de terminaison basé sur le DNS est accessible via des API Google Cloud disponibles sur l'Internet public. Pour en savoir plus, consultez la section Point de terminaison basé sur le DNS sur la page "Personnaliser votre isolation réseau".

Points de terminaison basés sur l'adresse IP

Vous pouvez également configurer l'accès au plan de contrôle à l'aide de points de terminaison basés sur l'adresse IP.

Terminologie relative aux clusters et aux adresses IP

• Adresses IP externesGoogle Cloud :

  • Les adresses IP externes attribuées à une VM utilisée par un client hébergé surGoogle Cloudappartiennent à Google Cloud . Pour en savoir plus, consultez la section Où puis-je trouver les plages d'adresses IP Compute Engine ?.

  • Adresses IP externes utilisées par Google Cloud des produits tels que Cloud Run ou les fonctions Cloud Run. Tout client hébergé sur Google Cloud peut instancier ces adresses IP. Google Cloud est propriétaire de ces adresses IP.

• Adresses IP réservées par Google: adresses IP externes à des fins de gestion des clusters GKE. Ces adresses IP incluent les processus gérés par GKE ainsi que d'autres services Google de production. Ces adresses IP appartiennent à Google.

• Plages d'adresses IP du cluster GKE: adresses IP internes attribuées au cluster utilisé par GKE pour les nœuds, les pods et les services du cluster.

• Adresses IP internes: adresses IP du réseau VPC de votre cluster. Ces adresses IP peuvent inclure l'adresse IP de votre cluster, les réseaux sur site, les plages RFC 1918 ou les adresses IP publiques utilisées en mode privé (PUPI) qui incluent des plages non-RFC 1918.

• Point de terminaison externe: adresse IP externe attribuée par GKE au plan de contrôle.

• Point de terminaison interne: adresse IP interne attribuée par GKE au plan de contrôle.

• Réseau VPC: réseau virtuel dans lequel vous créez des sous-réseaux avec des plages d'adresses IP spécifiques aux nœuds et aux pods du cluster.

Lorsque vous utilisez des points de terminaison basés sur l'adresse IP, deux options s'offrent à vous:

• Exploitez le plan de contrôle à la fois sur les points de terminaison externes et internes. Cela signifie que le point de terminaison externe du plan de contrôle est accessible à partir d'une adresse IP externe et que le point de terminaison interne est accessible à partir du réseau VPC de votre cluster. Les nœuds ne communiqueront avec le plan de contrôle que sur le point de terminaison interne.

• Exploitez le plan de contrôle sur le point de terminaison interne uniquement. Cela signifie que les clients sur Internet ne peuvent pas se connecter au cluster et que le plan de contrôle est accessible depuis n'importe quelle adresse IP du réseau VPC de votre cluster. Les nœuds ne communiquent avec le plan de contrôle que sur le point de terminaison interne.

  Il s'agit de l'option la plus sécurisée lorsque vous utilisez des points de terminaison basés sur l'adresse IP, car elle empêche tout accès Internet au plan de contrôle. Il s'agit d'un bon choix si vous avez des charges de travail qui, par exemple, nécessitent un accès contrôlé en raison des réglementations de sécurité et de confidentialité des données.

Dans les deux options précédentes, vous pouvez restreindre les adresses IP qui atteignent les points de terminaison en configurant des réseaux autorisés. Si vous utilisez des points de terminaison basés sur des adresses IP, nous vous recommandons vivement d'ajouter au moins un réseau autorisé. Ces réseaux accordent au plan de contrôle l'accès à un ensemble spécifique d'adresses IPv4 de confiance, et offrent une protection et des avantages supplémentaires en matière de sécurité pour votre cluster GKE.

Bonne pratique:

Activez les réseaux autorisés lorsque vous utilisez des points de terminaison basés sur l'adresse IP pour sécuriser votre cluster GKE.

Fonctionnement des réseaux autorisés

Les réseaux autorisés fournissent un pare-feu basé sur l'adresse IP qui contrôle l'accès au plan de contrôle GKE. L'accès au plan de contrôle dépend des adresses IP sources. Lorsque vous activez les réseaux autorisés, vous configurez les adresses IP pour lesquelles vous souhaitez autoriser l'accès au point de terminaison du plan de contrôle du cluster GKE en tant que liste de blocs CIDR.

Le tableau suivant présente les informations suivantes:

• Adresses IP prédéfinies qui peuvent toujours accéder au plan de contrôle GKE, que vous activiez ou non les réseaux autorisés.
• Adresses IP configurables pouvant accéder au plan de contrôle lorsque vous les ajoutez à la liste d'autorisation en activant les réseaux autorisés.

Points de terminaison du plan de contrôle	Adresses IP prédéfinies qui peuvent toujours accéder aux points de terminaison	Adresse IP configurable pouvant accéder aux points de terminaison après l'activation des réseaux autorisés
Points de terminaison externes et internes activés	Adresses IP réservées par Google Plages d'adresses IP du cluster GKE	Adresses IP externes de la liste d'autorisation Adresses IP internes ajoutées à la liste d'autorisation Google Cloud adresses IP externes
Seul le point de terminaison interne est activé	Adresses IP réservées par Google Plages d'adresses IP du cluster GKE	Adresses IP internes ajoutées à la liste d'autorisation.

Avec un réseau autorisé, vous pouvez également configurer la région à partir de laquelle une adresse IP interne peut atteindre le point de terminaison interne de votre plan de contrôle. Vous pouvez choisir d'autoriser l'accès uniquement à partir du réseau VPC du cluster ou de n'importe quelle région Google Cloud d'un VPC ou d'un environnement sur site.

Limites de l'utilisation des points de terminaison basés sur l'adresse IP

• Si vous développez un sous-réseau utilisé par un cluster avec des réseaux autorisés, vous devez mettre à jour la configuration de réseau autorisé pour inclure la plage d'adresses IP étendue.
• Si des clients se connectent à partir de réseaux avec des adresses IP dynamiques, comme des employés sur des réseaux domestiques, vous devez mettre à jour fréquemment la liste des réseaux autorisés pour conserver l'accès au cluster.
• La désactivation de l'accès au point de terminaison externe du plan de contrôle vous empêche d'interagir à distance avec votre cluster. Si vous devez accéder à distance au cluster, vous devez utiliser un hôte bastion qui transfère le trafic client vers le cluster. En revanche, l'utilisation d'un point de terminaison basé sur DNS ne nécessite que la configuration des autorisations IAM.
• Les points de terminaison basés sur l'adresse IP ne s'intègrent pas directement à VPC Service Controls. VPC Service Controls fonctionne au niveau du périmètre de service pour contrôler l'accès et le transfert des données au sein de Google Cloud. Nous vous recommandons d'utiliser à la fois un point de terminaison basé sur DNS et VPC Service Controls pour une défense de sécurité robuste.
• Vous pouvez spécifier jusqu'à 100 plages d'adresses IP autorisées (adresses IP externes et internes comprises).

Accès à la mise en réseau des clusters

Cette section explique comment isoler des nœuds dans un cluster Kubernetes.

Activer les nœuds privés

Empêchez les clients externes d'accéder aux nœuds en les provisionnant uniquement avec des adresses IP internes, ce qui les rend privés. Les charges de travail exécutées sur des nœuds sans adresse IP externe ne peuvent pas accéder à Internet, sauf si le NAT est activé sur le réseau du cluster. Vous pouvez modifier ces paramètres à tout moment.

Vous pouvez activer les nœuds privés au niveau d'un cluster individuel, ou au niveau du pool de nœuds (pour Standard) ou de la charge de travail (pour Autopilot). L'activation de nœuds privés au niveau du pool de nœuds ou de la charge de travail remplace toute configuration de nœud au niveau du cluster.

Si vous mettez à jour un pool de nœuds public en mode privé, les charges de travail nécessitant un accès en dehors du réseau du cluster peuvent échouer dans les scénarios suivants:

• Clusters d'un réseau VPC partagé où l'accès privé à Google n'est pas activé. Activez manuellement l'accès privé à Google pour vous assurer que GKE télécharge l'image de nœud attribuée. Pour les clusters qui ne font pas partie d'un réseau VPC partagé, GKE active automatiquement l'accès privé à Google.

• Les charges de travail qui nécessitent un accès à Internet lorsque Cloud NAT n'est pas activé ou pour lesquelles aucune solution NAT personnalisée n'est définie. Pour autoriser le trafic sortant vers Internet, activez Cloud NAT ou une solution NAT personnalisée.

Que vous activiez ou non les nœuds privés, le plan de contrôle communique toujours avec l'ensemble des nœuds uniquement via des adresses IP internes.

Avantages de l'isolation réseau

Voici les avantages de l'isolation réseau:

• Flexibilité:

  • Les clusters offrent une configuration unifiée et flexible. Les clusters avec ou sans points de terminaison externes partagent tous la même architecture et prennent en charge les mêmes fonctionnalités. Vous pouvez sécuriser l'accès en fonction des commandes et des bonnes pratiques qui répondent à vos besoins. Toutes les communications entre les nœuds de votre cluster et le plan de contrôle utilisent une adresse IP interne.
  • Vous pouvez modifier les paramètres d'accès au plan de contrôle et de configuration des nœuds de cluster à tout moment, sans avoir à recréer le cluster.
  • Vous pouvez choisir d'activer le point de terminaison externe du plan de contrôle si vous devez gérer votre cluster depuis n'importe quel emplacement disposant d'un accès Internet, ou depuis des réseaux ou des appareils qui ne sont pas directement connectés à votre VPC. Vous pouvez également désactiver le point de terminaison externe pour renforcer la sécurité si vous devez maintenir l'isolation réseau pour les charges de travail sensibles. Dans les deux cas, vous pouvez utiliser des réseaux autorisés pour limiter l'accès aux plages d'adresses IP approuvées.

• Sécurité :

  • Les points de terminaison basés sur le DNS avec VPC Service Controls fournissent un modèle de sécurité multicouche qui protège votre cluster contre les réseaux non autorisés et les identités non autorisées qui accèdent au plan de contrôle. VPC Service Controls s'intègre à Cloud Audit Logs pour surveiller l'accès au plan de contrôle.
  • Les nœuds privés et les charges de travail exécutées sur ces nœuds ne sont pas directement accessibles depuis l'Internet public, ce qui réduit considérablement le risque d'attaques externes sur votre cluster.
  • Vous pouvez bloquer l'accès au plan de contrôle depuis des Google Cloud adresses IP externes ou depuis des adresses IP externes, afin d'isoler complètement le plan de contrôle du cluster et de réduire l'exposition aux menaces de sécurité potentielles.

• Conformité: si vous travaillez dans un secteur soumis à des réglementations strictes concernant l'accès et le stockage des données, les nœuds privés facilitent la conformité en veillant à ce que les données sensibles restent sur votre réseau privé.

• Contrôle: les nœuds privés vous permettent de contrôler avec précision le flux de trafic entrant et sortant de votre cluster. Vous pouvez configurer des règles de pare-feu et des stratégies réseau pour n'autoriser que les communications autorisées. Si vous travaillez dans des environnements multicloud, les nœuds privés peuvent vous aider à établir une communication sécurisée et contrôlée entre les différents environnements.

• Coût: en activant les nœuds privés, vous pouvez réduire les coûts pour les nœuds qui n'exigent pas d'adresse IP externe pour accéder à des services publics sur Internet.

Étape suivante

• Découvrez comment personnaliser l'isolation réseau.
• En savoir plus sur Private Service Connect