Questo argomento illustra i gruppi di sicurezza AWS (SG) necessari per GKE su AWS.
Se
installi un servizio di gestione o
utilizzi un VPC AWS esistente,
anthos-gke crea automaticamente dei gruppi di sicurezza. Puoi configurare le tue CRD AWSCluster e AWSNodePool con un elenco di ID gruppo di sicurezza aggiuntivi.
Il seguente diagramma illustra in che modo GKE su AWS utilizza i gruppi di sicurezza per connettersi ai servizi Google Cloud e AWS.
Gruppo di sicurezza del servizio di gestione
Il gruppo di sicurezza del servizio di gestione consente l'accesso all'API del servizio di gestione con HTTPS. Se hai configurato un bastion host, è consentito l'accesso in entrata dal gruppo di sicurezza bastion.
Se crei un ambiente GKE su AWS in un VPC AWS esistente, devi avere un gruppo di sicurezza che consenta le seguenti connessioni.
| Tipo | Protocollo | Port (Porta) | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 443 | CIDR VPC | Consenti HTTPS dal VPC AWS. |
| In entrata | TCP | 22 | Bastion host SG | Consenti il tunneling SSH dal bastion host (incluso solo nel VPC dedicato). |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |
Accesso al dominio in uscita
Il servizio di gestione richiede l'accesso in uscita ai seguenti domini.
gkeconnect.googleapis.comgkehub.googleapis.comoauth2.googleapis.comstorage.googleapis.comwww.googleapis.comgcr.iok8s.gcr.ioEC2-REGION.ec2.archive.ubuntu.com
Sostituisci EC2-REGION con la regione AWS EC2 in cui viene eseguita l'installazione di GKE su AWS. Ad esempio,
us-west-1.ec2.archive.ubuntu.com/.
Se utilizzi Cloud Service Mesh con Prometheus e Kiali, consenti l'accesso in uscita dai seguenti domini:
docker.ioquay.io
Gruppo di sicurezza bastion host (facoltativo)
Puoi utilizzare le connessioni al gruppo di sicurezza del bastion host consentite dal suo gruppo per connettersi a GKE su AWS Management Service e ai cluster utente. Questo gruppo è facoltativo e incluso solo se utilizzi anthos-gke per creare un'installazione GKE su AWS in un VPC dedicato.
| Tipo | Protocollo | Port (Porta) | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 22 | Blocco CIDR da bastionAllowedSSHCIDRBlocks nella configurazione
AWSManagementService. |
Consenti SSH al bastion host. |
| In uscita | TCP | 22 | 0.0.0.0/0 | Consenti SSH in uscita. |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |
Gruppo di sicurezza del piano di controllo
Il gruppo di sicurezza del piano di controllo consente le connessioni tra i nodi del piano di controllo e il servizio di gestione, nonché tra i nodi e i pool di nodi del piano di controllo.
Il piano di controllo è costituito da tre istanze EC2 dietro un bilanciatore del carico di rete AWS (NLB). Queste istanze accettano connessioni da istanze etcd su altri nodi, nodi del pool di nodi e NLB. Per aggiornare GKE sui componenti AWS, è consentito tutto il traffico HTTP/HTTPS in uscita.
Gli ID gruppo di sicurezza vengono specificati nella definizione di AWSCluster.
| Tipo | Protocollo | Port (Porta) | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 2380 | Questo SG | Consenti la replica del piano di controllo etcd. |
| In entrata | TCP | 2381 | Questo SG | Consenti la replica degli eventi etcd del piano di controllo. |
| In entrata | TCP | 443 | SG del pool di nodi | Consenti HTTPS dai nodi del pool di nodi. |
| In entrata | TCP | 443 | Intervallo CIDR VPC AWS | Consenti HTTPS dal bilanciatore del carico e dal servizio di gestione. |
| In entrata | TCP | 11872 | Intervallo CIDR VPC AWS | Controllo di integrità HTTP per il bilanciatore del carico. |
| In uscita | TCP | 22 | SG del pool di nodi | Consenti il tunneling SSH ai pool di nodi (per i cluster v1.20 e precedenti). |
| In entrata | TCP | 8132 | SG del pool di nodi | Consenti la connessione Konnectivity da pool di nodi (per cluster v1.21 e successive). |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |
| In uscita | TCP | 2380 | Questo SG | Consenti la replica del piano di controllo etcd. |
| In uscita | TCP | 2381 | Questo SG | Consenti la replica degli eventi etcd del piano di controllo. |
| In uscita | TCP | 10250 | SG del pool di nodi | Consenti le connessioni dal piano di controllo a Kubelet. |
Gruppo di sicurezza del pool di nodi
Il gruppo di sicurezza del pool di nodi consente le connessioni dal piano di controllo e dall'altro nodo. Gli ID del gruppo di sicurezza vengono specificati nelle definizioni di AWSNodePool.
| Tipo | Protocollo | Port (Porta) | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | Tutti | Questo SG | Consenti la comunicazione tra pod. |
| In entrata | TCP | 22 | SG piano di controllo | Consenti il tunneling SSH dal piano di controllo (per i cluster v1.20 e precedenti). |
| In uscita | TCP | 8132 | SG piano di controllo | Consenti connessioni Konnectivity al piano di controllo (per cluster v1.21 e successive). |
| In entrata | TCP | 443 | SG piano di controllo | Consenti le connessioni dal piano di controllo a Kubelet. |
| In entrata | TCP | 10250 | SG piano di controllo | Consenti le connessioni dal piano di controllo a Kubelet. |
| In uscita | TCP | Tutti | Questo SG | Consenti la comunicazione tra pod. |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |