En esta página, se explica cómo funcionan el aislamiento de red y los controles de acceso para el plano de control y los nodos de tu clúster de Google Kubernetes Engine (GKE). Esta página reemplaza la página que describe el concepto de clústeres privados.
Hay dos aspectos que debes tener en cuenta cuando decidas cómo configurar el aislamiento de red:
- Acceso al plano de control, que se relaciona con quién puede acceder al plano de control del clúster.
- Herramientas de redes de clústeres, que se relaciona con el aislamiento de nodos.
En esta página, se muestra cómo controlar y personalizar quién puede acceder al plano de control y a los nodos del clúster (en un clúster estándar) o a las cargas de trabajo (en un clúster de Autopilot). Esta personalización es relevante cuando decides la configuración de red de tu clúster. Para ir directamente a definir la configuración de red, consulta Cómo personalizar el aislamiento de red.
Planifica y diseña la configuración de aislamiento de red con los arquitectos de red, los ingenieros de red, los administradores de red o algún otro equipo responsable de la definición, la implementación y el mantenimiento de la arquitectura de red de tu organización.
Acceso al plano de control
En esta sección, analizarás quién puede acceder a tu plano de control.
Cada clúster de GKE tiene un plano de control que controla las solicitudes a la API de Kubernetes. El plano de control se ejecuta en una máquina virtual (VM) que está en una red de VPC en un proyecto administrado por Google. Un clúster regional tiene varias réplicas del plano de control, cada una de las cuales se ejecuta en su propia VM.
El plano de control tiene dos tipos de extremos para el acceso al clúster:
- Extremo basado en DNS
- Extremos basados en IP
Usa solo el extremo basado en DNS para acceder a tu plano de control y obtener una configuración simplificada y una capa de seguridad flexible y basada en políticas.
Extremo basado en DNS
El extremo basado en DNS proporciona un DNS único o un nombre de dominio completamente calificado (FQDN) para cada plano de control del clúster. Este nombre de DNS se puede usar para acceder a tu plano de control. El nombre de DNS se resuelve en un extremo al que se puede acceder desde cualquier red a la que lleguen las APIs de Google Cloud , incluidas las redes locales o de otras nubes. Si habilitas el extremo basado en DNS, ya no necesitarás un host de bastión ni nodos de proxy para acceder al plano de control desde otras redes de VPC o ubicaciones externas.
Para acceder al extremo del plano de control, debes configurar los roles y las políticas de IAM, y los tokens de autenticación. Para obtener más detalles sobre los permisos exactos necesarios, consulta Cómo personalizar el aislamiento de red.
Además de las políticas y los tokens de IAM, también puedes configurar los siguientes atributos de acceso:
Controles basados en IP o en la red con los Controles del servicio de VPC: Para proteger el acceso al plano de control. Los Controles del servicio de VPC agregan otra capa de seguridad de acceso con acceso adaptado al contexto basado en atributos como el origen de la red. Los Controles del servicio de VPC te permiten configurar qué redes pueden acceder al extremo de DNS. El uso de políticas de IAM y Controles del servicio de VPC para proteger el acceso al extremo basado en DNS proporciona un modelo de seguridad de varias capas para el plano de control de tu clúster. Todas las APIs de Google Cloud usan los Controles del servicio de VPC, lo que alinea la configuración de seguridad de tus clústeres con los datos alojados en todas las demás APIs deGoogle Cloud .
Private Service Connect o Cloud NAT: Para acceder al extremo basado en DNS desde clientes que no tienen acceso a Internet público. De forma predeterminada, se puede acceder al extremo basado en DNS a través de las APIs de Google Cloud que están disponibles en la Internet pública. Para obtener más información, consulta Extremo basado en DNS en la página Cómo personalizar el aislamiento de red.
Extremos basados en IP
De forma opcional, también puedes configurar el acceso al plano de control con extremos basados en IP.
Terminología relacionada con clústeres y direcciones IP
Google Cloud Direcciones IP externas:
Las direcciones IP externas asignadas a cualquier VM que use cualquier cliente alojado enGoogle Cloudson propiedad de Google Cloud . Para obtener más información, consulta ¿Dónde puedo encontrar los rangos de IP de Compute Engine?
Direcciones IP externas que usan los Google Cloud productos, como Cloud Run o funciones de Cloud Run. Cualquier cliente alojado en Google Cloud puede crear instancias de estas direcciones IP. Google Cloud es propietario de estas direcciones IP.
Direcciones IP reservadas por Google: Direcciones IP externas para fines de administración del clúster de GKE. Estas direcciones IP incluyen procesos administrados de GKE y otros servicios de producción de Google. Google posee estas direcciones IP.
Rangos de direcciones IP del clúster de GKE: Direcciones IP internas asignadas al clúster que GKE usa para los nodos, los Pods y los objetos Service del clúster.
Direcciones IP internas: Direcciones IP de la red de VPC de tu clúster. Estas direcciones IP pueden incluir la dirección IP de tu clúster, las redes locales, los rangos RFC 1918 o las direcciones IP públicas de uso privado (PUPI) que incluyen rangos que no son RFC 1918.
Extremo externo: Es la dirección IP externa que GKE asigna al plano de control.
Extremo interno: Es la dirección IP interna que GKE asigna al plano de control.
Red de VPC: Es una red virtual en la que creas subredes con rangos de direcciones IP específicamente para los nodos y los Pods del clúster.
Cuando usas extremos basados en IP, tienes dos opciones:
Expón el plano de control en los extremos externos y los internos. Esto significa que se puede acceder al extremo externo del plano de control desde una dirección IP externa y al extremo interno desde la red de VPC de tu clúster. Los nodos se comunicarán con el plano de control solo en el extremo interno.
Expón el plano de control solo en el extremo interno. Esto significa que los clientes en Internet no se pueden conectar al clúster y se puede acceder al plano de control desde cualquier dirección IP de la red de VPC de tu clúster. Los nodos solo se comunicarán con el plano de control en el extremo interno.
Esta es la opción más segura cuando se usan extremos basados en IP, ya que impide todo acceso a Internet al plano de control. Esta es una buena opción si tienes cargas de trabajo que, por ejemplo, requieren acceso controlado debido a las reglamentaciones de seguridad y privacidad de los datos.
En ambas opciones anteriores, puedes restringir qué direcciones IP llegan a los extremos configurando redes autorizadas. Si usas extremos basados en IP, te recomendamos que agregues al menos una red autorizada. Las redes autorizadas otorgan acceso al plano de control a un conjunto específico de direcciones IPv4 de confianza y proporcionan protección y beneficios de seguridad adicionales para tu clúster de GKE.
Habilita las redes autorizadas cuando uses extremos basados en IP para proteger tu clúster de GKE.
Cómo funcionan las redes autorizadas
Las redes autorizadas proporcionan un firewall basado en IP que controla el acceso al plano de control de GKE. El acceso al plano de control depende de las direcciones IP de origen. Cuando habilitas las redes autorizadas, configuras las direcciones IP para las que deseas permitir el acceso al extremo del plano de control del clúster de GKE como una lista de bloques CIDR.
En la siguiente tabla, se muestra lo siguiente:
- Las direcciones IP predeterminadas que siempre pueden acceder al plano de control de GKE, independientemente de si habilitas las redes autorizadas.
- Las direcciones IP configurables que pueden acceder al plano de control cuando las permites habilitando las redes autorizadas.
| Extremos del plano de control | Direcciones IP predeterminadas que siempre pueden acceder a los extremos | Dirección IP configurable que puede acceder a los extremos después de habilitar las redes autorizadas |
|---|---|---|
| Extremos externos e internos habilitados |
|
|
| Solo se habilitó el extremo interno |
|
|
Con una red autorizada, también puedes configurar la región desde la que una dirección IP interna puede llegar al extremo interno de tu plano de control. Puedes permitir el acceso solo desde la red de VPC del clúster o desde cualquier región de Google Cloud en una VPC o un entorno local.
Limitaciones del uso de extremos basados en IP
- Si expandes una subred que un clúster usa con redes autorizadas, debes actualizar la configuración de la red autorizada para que incluya el rango de direcciones IP expandido.
- Si tienes clientes que se conectan desde redes con direcciones IP dinámicas, como empleados en redes domésticas, debes actualizar la lista de redes autorizadas con frecuencia para mantener el acceso al clúster.
- Si inhabilitas el acceso al extremo externo del plano de control, no podrás interactuar con tu clúster de forma remota. Si necesitas acceder de forma remota al clúster, debes usar un host de bastión que reenvíe el tráfico de clientes al clúster. En cambio, usar un extremo basado en DNS solo requiere configurar los permisos de IAM.
- Los extremos basados en IP no se integran directamente con los Controles del servicio de VPC. Los Controles del servicio de VPC operan a nivel del perímetro de servicio para controlar el acceso y el movimiento de datos dentro de Google Cloud. Recomendamos usar un extremo basado en DNS con los Controles del servicio de VPC para una defensa de seguridad sólida.
- Puedes especificar hasta 100 rangos de direcciones IP autorizados (incluidas las direcciones IP internas y externas).
Acceso a las herramientas de redes de clústeres
En esta sección, se analiza el aislamiento de nodos dentro de un clúster de Kubernetes.
Habilitar nodos privados
Para evitar que los clientes externos accedan a los nodos, aprovisiona esos nodos solo con direcciones IP internas, lo que los hace privados. Las cargas de trabajo que se ejecutan en nodos sin una dirección IP externa no pueden conectarse a Internet, a menos que la NAT esté habilitada en la red del clúster. Puedes cambiar esta configuración en cualquier momento.
Puedes habilitar nodos privados a nivel de un clúster individual o del grupo de nodos (para Standard) o de la carga de trabajo (para Autopilot). Habilitar nodos privados a nivel del grupo de nodos o de la carga de trabajo anula cualquier configuración de nodo a nivel del clúster.
Si actualizas un grupo de nodos público al modo privado, es posible que las cargas de trabajo que requieran acceso fuera de la red del clúster fallen en las siguientes situaciones:
Clústeres en una red de VPC compartida en la que no está habilitado el Acceso privado a Google Habilita manualmente el Acceso privado a Google para asegurarte de que GKE descargue la imagen del nodo asignada. En el caso de los clústeres que no están en una red de VPC compartida, GKE habilita automáticamente el Acceso privado a Google.
Cargas de trabajo que requieren acceso a Internet en las que Cloud NAT no está habilitado o no se define una solución de NAT personalizada. Para permitir el tráfico de salida a Internet, habilita Cloud NAT o una solución NAT personalizada.
Ya sea que habilites o no los nodos privados, el plano de control aún se comunica con todos los nodos solo a través de direcciones IP internas.
Beneficios del aislamiento de red
Los siguientes son los beneficios del aislamiento de red:
Flexibilidad:
- Los clústeres tienen una configuración unificada y flexible. Los clústeres con o sin extremos externos comparten la misma arquitectura y admiten la misma funcionalidad. Puedes proteger el acceso en función de los controles y las prácticas recomendadas que satisfagan tus necesidades. Toda la comunicación entre los nodos del clúster y el plano de control usa una dirección IP interna.
- Puedes cambiar la configuración de acceso al plano de control y la configuración del nodo del clúster en cualquier momento sin tener que volver a crear el clúster.
- Puedes habilitar el extremo externo del plano de control si necesitas administrar tu clúster desde cualquier ubicación con acceso a Internet o desde redes o dispositivos que no están conectados directamente con tu VPC. También puedes inhabilitar el extremo externo para mejorar la seguridad si necesitas mantener el aislamiento de red para cargas de trabajo sensibles. En cualquier caso, puedes usar redes autorizadas para limitar el acceso a rangos de IP confiables.
Seguridad:
- Los extremos basados en DNS con Controles del servicio de VPC proporcionan un modelo de seguridad de varias capas que protege tu clúster contra redes no autorizadas, así como identidades no autorizadas que acceden al plano de control. Los Controles del servicio de VPC se integran con los Registros de auditoría de Cloud para supervisar el acceso al plano de control.
- No se puede acceder directamente a los nodos privados ni a las cargas de trabajo que se ejecutan en ellos desde la Internet pública, lo que reduce significativamente el potencial de ataques externos a tu clúster.
- Puedes bloquear el acceso al plano de control desde Google Cloud direcciones IP externas o desde direcciones IP externas para aislar por completo el plano de control del clúster y reducir la exposición a posibles amenazas de seguridad.
Cumplimiento: Si trabajas en una industria con reglamentaciones estrictas para el acceso y el almacenamiento de datos, los nodos privados ayudan con el cumplimiento, ya que garantizan que los datos sensibles permanezcan dentro de tu red privada.
Control: Los nodos privados te brindan un control detallado sobre cómo fluye el tráfico dentro y fuera de tu clúster. Puedes configurar reglas de firewall y políticas de red para permitir solo la comunicación autorizada. Si operas en entornos de múltiples nubes, los nodos privados pueden ayudarte a establecer una comunicación segura y controlada entre diferentes entornos.
Costo: Si habilitas los nodos privados, puedes reducir los costos de los nodos que no requieren una dirección IP externa para acceder a servicios públicos en Internet.
¿Qué sigue?
- Obtén más información para personalizar el aislamiento de red.
- Obtén información sobre Private Service Connect.