En esta página, se explica cómo otorgar acceso a las redes autorizadas de las instancias principales de los clústeres de Google Kubernetes Engine. Para obtener información general sobre las herramientas de redes de GKE, visita la Descripción general de la red.
Descripción general
Las redes autorizadas te permiten incluir en la lista blanca rangos específicos de CIDR y autorizan a las direcciones IP de esos rangos para que accedan al extremo de la instancia principal del clúster con HTTPS. Las redes autorizadas son compatibles con todos los clústeres.
GKE usa la seguridad de la capa de transporte (TLS) y la autenticación para ofrecer acceso seguro al extremo de la instancia principal del clúster desde la Internet pública. Esto te ofrece la flexibilidad de administrar tu clúster desde cualquier lugar. Con las redes autorizadas, puedes restringir el acceso solo a conjuntos específicos de direcciones IP.
Beneficios
Agregar redes autorizadas puede ofrecer más beneficios de seguridad a tu clúster. Las redes autorizadas otorgan acceso a un conjunto específico de direcciones que selecciones, como aquellas provenientes de tu entorno. Esto puede ayudarte a proteger el acceso a tu clúster en caso de que se produzca una vulnerabilidad en los mecanismos de autorización o autenticación.
Beneficios de los clústeres privados
Los clústeres privados ejecutan nodos sin direcciones IP externas y, de manera opcional, ejecutan la instancia principal sin un extremo accesible de forma pública. Además, los clústeres privados no permiten que las direcciones IP de Google Cloud accedan al extremo de la instancia principal del clúster de forma predeterminada. Usar clústeres privados con redes autorizadas hace que a la instancia principal del clúster solo puedan acceder los CIDR incluidos en la lista blanca, los nodos de la VPC de tu clúster y los trabajos internos de producción de Google que administran tu instancia principal.
Limitaciones
- Un clúster no puede tener más de 50 rangos CIDR de redes autorizadas.
Antes de comenzar
Sigue estos pasos a fin de prepararte para esta tarea:
- Asegúrate de que habilitaste la API de Google Kubernetes Engine. Habilitar la API de Google Kubernetes Engine
- Asegúrate de que instalaste el SDK de Cloud.
- Establece tu ID del proyecto predeterminado:
gcloud config set project [PROJECT_ID]
- Si trabajas con clústeres zonales, establece tu zona de procesamiento predeterminada:
gcloud config set compute/zone [COMPUTE_ZONE]
- Si trabajas con clústeres regionales, establece tu región de procesamiento predeterminada:
gcloud config set compute/region [COMPUTE_REGION]
- Actualiza
gclouda la versión más reciente:gcloud components update
Crea un clúster con redes autorizadas
Puedes crear un clúster con una o más redes autorizadas mediante la herramienta de línea de comandos de gcloud o [Google Cloud Console].
gcloud
Ejecuta el comando siguiente:
gcloud container clusters create [CLUSTER_NAME] \
--enable-master-authorized-networks \
--master-authorized-networks [CIDR],[CIDR]...
Con la marca --master-authorized-networks, puedes especificar hasta 50 CIDR delimitados por comas (como 8.8.8.0/24) a los que deseas otorgar acceso al extremo de la instancia principal de tu clúster a través de HTTPS.
Por ejemplo:
gcloud container clusters create example-cluster \
--enable-master-authorized-networks \
--master-authorized-networks 8.8.8.8/32,8.8.8.0/24Console
Visita el menú de Google Kubernetes Engine en Cloud Console.
Haz clic en Crear clúster.
Configura tu clúster como desees. Luego, haz clic en Opciones avanzadas.
En la sección Seguridad de la red, selecciona Habilitar redes autorizadas de la instancia principal.
Haz clic en Agregar red autorizada.
Llena el cuadro Nombre con el nombre que desees para la red.
Llena el cuadro Red con el rango de CIDR que deseas incluir en la lista blanca para otorgar acceso a la instancia principal del clúster.
Haz clic en Listo. Agrega más redes autorizadas si lo deseas.
Haz clic en Crear en la parte inferior del menú.
API
Especifica el objeto masterAuthorizedNetworksConfig en la solicitud create de tu clúster:
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": string,
"cidrBlock": string
}
]
}
Para obtener más información, consulta MasterAuthorizedNetworksConfig.
Crea un clúster privado con redes autorizadas
Para obtener información sobre cómo crear un clúster privado con una red autorizada o más, consulta Configura un clúster privado.
Agrega una red autorizada a un clúster existente
Puedes agregar una red autorizada a un clúster existente con la herramienta de línea de comandos de gcloud o con [Cloud Console].
gcloud
Ejecuta el comando siguiente:
gcloud container clusters update [CLUSTER_NAME] \
--enable-master-authorized-networks \
--master-authorized-networks [CIDR],[CIDR]...
Con la marca --master-authorized-networks, puedes especificar hasta 50 CIDR delimitados por comas (como 8.8.8.0/24) a los que deseas otorgar acceso al extremo de la instancia principal de tu clúster a través de HTTPS.
Por ejemplo:
gcloud container clusters update example-cluster \
--enable-master-authorized-networks \
--master-authorized-networks 8.8.8.8/32,8.8.8.0/24Console
Visita el menú de Google Kubernetes Engine en Cloud Console.
Selecciona el clúster que desees.
Haz clic en Editar.
En el menú desplegable Redes autorizadas principales, selecciona Habilitadas, si aún no lo has hecho.
Haz clic en Agregar red autorizada.
Llena el cuadro Nombre con el nombre que desees para la red.
Llena el cuadro Red con el rango de CIDR que deseas incluir en la lista blanca para otorgar acceso a la instancia principal del clúster.
Haz clic en Listo. Agrega más redes autorizadas si lo deseas.
Haz clic en Guardar en la parte inferior del menú.
API
Especifica el campo desiredMasterAuthorizedNetworksConfig en la solicitud update de tu clúster. En el campo, especifica un objeto MasterAuthorizedNetworksConfig:
"desiredMasterAuthorizedNetworksConfig": {
object(MasterAuthorizedNetworksConfig)
}
Verifica una red autorizada
Puedes verificar una red autorizada en un clúster existente con la herramienta de línea de comandos de gcloud o con [Cloud Console].
gcloud
Ejecuta el comando siguiente:
gcloud container clusters describe [CLUSTER_NAME]
En el resultado del comando, busca el campo masterAuthorizedNetworksConfig:
...
masterAuthorizedNetworksConfig:
cidrBlocks:
- cidrBlock: 8.8.8.8/32
- cidrBlock: 8.8.4.4/32
enabled: true
...
Console
Visita el menú de Google Kubernetes Engine en Cloud Console.
Selecciona el clúster deseado.
El campo Redes autorizadas principales muestra los CIDR incluidos en la lista blanca.
API
Envía una solicitud get. Busca los bloques CIDR debajo del campo masterAuthorizedNetworksConfig. Por ejemplo:
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "Office",
"cidrBlock": "192.0.2.0/24"
}
]
}
Inhabilita las redes autorizadas
Puedes inhabilitar las redes autorizadas para un clúster existente con la herramienta de línea de comandos de gcloud o con [Cloud Console].
gcloud
Ejecuta el comando siguiente:
gcloud container clusters update [CLUSTER_NAME] \ --no-enable-master-authorized-networks
Console
Visita el menú de Google Kubernetes Engine en Cloud Console.
Selecciona el clúster que desees.
Haz clic en Editar.
En el menú desplegable Redes autorizadas principales, selecciona Inhabilitadas.
Haz clic en Guardar.
Solución de problemas
En las siguientes secciones, se explica cómo solucionar problemas comunes con las redes autorizadas:
Demasiados bloques CIDR
gcloud muestra el siguiente error cuando intenta crear o actualizar un clúster con más de 50 bloques CIDR:
ERROR: (gcloud.container.clusters.update) argument --master-authorized-networks: too many args
Para solucionar este problema, debes especificar menos de 50 bloques CIDR.
No se puede establecer conexión con la instancia principal
Los comandos kubectl agotan el tiempo de espera debido a que los bloques CIDR están configurados de forma incorrecta:
Unable to connect to the server: dial tcp MASTER_IP: getsockopt: connection timed out
Cuando creas o actualizas un clúster, asegúrate de especificar los bloques CIDR correctos.