Este tópico explica os grupos de segurança (SG) da AWS necessários para o GKE na AWS.
Se você
instalar um serviço de gerenciamento ou
Usar uma VPC atual da AWS,
anthos-gke criará grupos de segurança para você. É possível configurar os
CRDs AWSCluster e
AWSNodePool com uma lista de IDs adicionais de
grupos de segurança.
O diagrama a seguir descreve como o GKE na AWS usam grupos de segurança para se conectar aos serviços do Google Cloud e da AWS.
Grupo de segurança do serviço de gerenciamento
O grupo de segurança do serviço de gerenciamento permite o acesso à API de serviço de gerenciamento com HTTPS. Se você tiver um Bastion Host configurado, a entrada do grupo de segurança de Bastion será permitida.
Se você criar um GKE no ambiente da AWS em uma VPC atual da AWS, será necessário ter um grupo de segurança para as conexões a seguir.
| Tipo | Protocolo | Porta | Endereço | Descrição |
|---|---|---|---|---|
| Entrada | TCP | 443 | CIDR de VPC; | Permitir HTTPS da VPC da AWS. |
| Entrada | TCP | 22 | Bastion Host SG | Permitir tunelamento SSH do Bastion Host (incluído apenas na VPC dedicada). |
| Saída | TCP | 80 | 0.0.0.0/0 | Permitir HTTP de saída. |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída. |
Acesso ao domínio de saída
O serviço de gerenciamento requer acesso de saída aos seguintes domínios.
gkeconnect.googleapis.comgkehub.googleapis.comoauth2.googleapis.comstorage.googleapis.comwww.googleapis.comgcr.iok8s.gcr.ioEC2-REGION.ec2.archive.ubuntu.com
Substitua EC2-REGION pela região do AWS EC2 em que a instalação do GKE na AWS é executada. Por exemplo, us-west-1.ec2.archive.ubuntu.com/.
Se você estiver usando o Anthos Service Mesh com Prometheus e o Kiali, permita o acesso de saída dos seguintes domínios:
docker.ioquay.io
Grupo de segurança do Bastion Host (opcional)
Use as conexões do grupo de segurança do Bastion Host permitidas pelo grupo para
se conectar ao GKE no serviço de gerenciamento da AWS e nos clusters
de usuários. Este grupo é opcional e só é incluído se você usar anthos-gke para
criar um GKE na instalação da AWS em uma
VPC dedicada.
| Tipo | Protocolo | Porta | Endereço | Descrição |
|---|---|---|---|---|
| Entrada | TCP | 22 | Bloco de CIDR de bastionAllowedSSHCIDRBlocks na
configuração do
AWSManagementService. |
Permitir SSH para Bastion Host. |
| Saída | TCP | 22 | 0.0.0.0/0 | Permitir SSH de saída. |
| Saída | TCP | 80 | 0.0.0.0/0 | Permitir HTTP de saída. |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída. |
Grupo de segurança do plano de controle
O grupo de segurança do plano de controle permite conexões entre os nós do plano de controle e o serviço de gerenciamento, bem como entre os nós e os pools de nós do plano de controle.
O plano de controle consiste em três instâncias do EC2 por trás de um balanceador de carga de rede (NLB) da AWS. Essas instâncias aceitam conexões de instâncias do etcd em outros nós, pool de nós e a NLB. Para atualizar o GKE nos componentes da AWS, todo o tráfego HTTP/HTTPS de saída é permitido.
Especifique os IDs do grupo de segurança na definição AWSCluster.
| Tipo | Protocolo | Porta | Endereço | Descrição |
|---|---|---|---|---|
| Entrada | TCP | 2380 | Essa SG | Permitir a replicação do etcd do plano de controle. |
| Entrada | TCP | 2381 | Essa SG | Permitir a replicação de eventos do etcd do plano de controle. |
| Entrada | TCP | 443 | Pool de nós SG | Permitir HTTPS dos nós do pool de nós. |
| Entrada | TCP | 443 | Intervalo CIDR da VPC da AWS | Permitir HTTPS do balanceador de carga e do serviço de gerenciamento. |
| Entrada | TCP | 11872 | Intervalo CIDR da VPC da AWS | Verificação de integridade de HTTP para o balanceador de carga. |
| Saída | TCP | 22 | Pool de nós SG | Permitir o encapsulamento SSH para pools de nós (para clusters v1.20 e anteriores). |
| Entrada | TCP | 8132 | Pool de nós SG | Permitir a conexão do Konnectivity dos pools de nós (para clusters v1.21 e posteriores). |
| Saída | TCP | 80 | 0.0.0.0/0 | Permitir HTTP de saída. |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída. |
| Saída | TCP | 2380 | Essa SG | Permitir a replicação do etcd do plano de controle. |
| Saída | TCP | 2381 | Essa SG | Permitir a replicação de eventos do etcd do plano de controle. |
| Saída | TCP | 10250 | Pool de nós SG | Permitir conexões do plano de controle ao Kubelet. |
Grupo de segurança do pool de nós
O grupo de segurança do pool de nós permite conexões do plano de controle e de outro nó. Especifique os IDS dos grupos de segurança nas definições do AWSNodePool.
| Tipo | Protocolo | Porta | Endereço | Descrição |
|---|---|---|---|---|
| Entrada | TCP | Tudo | Essa SG | Permitir a comunicação entre pods. |
| Entrada | TCP | 22 | Plano de controle SG | Permitir o encapsulamento SSH do plano de controle (para clusters v1.20 e anteriores). |
| Saída | TCP | 8132 | Plano de controle SG | Permitir conexões do Konnectivity para o plano de controle (para clusters v1.21 e posteriores). |
| Entrada | TCP | 443 | Plano de controle SG | Permitir conexões do plano de controle ao Kubelet. |
| Entrada | TCP | 10250 | Plano de controle SG | Permitir conexões do plano de controle ao Kubelet. |
| Saída | TCP | Tudo | Essa SG | Permitir a comunicação entre pods. |
| Saída | TCP | 80 | 0.0.0.0/0 | Permitir HTTP de saída. |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída. |