Topik ini menjelaskan grup keamanan AWS (SG) yang Anda perlukan untuk GKE di AWS.
Jika Anda Menginstal layanan pengelolaan atau Menggunakan VPC AWS yang sudah ada, anthos-gke akan membuat grup keamanan untuk Anda. Anda dapat mengonfigurasi CRD AWSCluster dan AWSNodePool dengan daftar ID grup keamanan tambahan.
Diagram berikut menguraikan cara GKE di AWS menggunakan grup keamanan untuk terhubung ke layanan Google Cloud dan AWS.
Grup keamanan layanan pengelolaan
Grup keamanan layanan pengelolaan mengizinkan akses ke API layanan pengelolaan dengan HTTPS. Jika Anda telah mengonfigurasi bastion host, Masuk dari grup bastion security akan diizinkan.
Jika membuat GKE di lingkungan AWS ke dalam VPC AWS yang ada, Anda harus memiliki grup keamanan yang mengizinkan koneksi berikut.
| Jenis | Protokol | Port | Alamat | Deskripsi |
|---|---|---|---|---|
| Masuk | TCP | 443 | CIDR VPC | Izinkan HTTPS dari VPC AWS. |
| Masuk | TCP | 22 | Bastion host SG | Izinkan tunneling SSH dari bastion host (hanya disertakan dalam VPC khusus). |
| Keluar | TCP | 80 | 0.0.0.0/0 | Mengizinkan HTTP keluar. |
| Keluar | TCP | 443 | 0.0.0.0/0 | Izinkan HTTPS keluar. |
Akses domain keluar
Layanan pengelolaan memerlukan akses keluar ke domain berikut.
gkeconnect.googleapis.comgkehub.googleapis.comoauth2.googleapis.comstorage.googleapis.comwww.googleapis.comgcr.iok8s.gcr.ioEC2-REGION.ec2.archive.ubuntu.com
Ganti EC2-REGION dengan region AWS EC2 tempat penginstalan GKE di AWS berjalan. Misalnya,
us-west-1.ec2.archive.ubuntu.com/.
Jika Anda menggunakan Cloud Service Mesh dengan Prometheus dan Kiali, izinkan akses keluar dari domain berikut:
docker.ioquay.io
Grup keamanan bastion host (opsional)
Anda menggunakan koneksi grup keamanan bastion host yang diizinkan oleh grupnya untuk terhubung ke GKE Anda di layanan pengelolaan AWS dan cluster pengguna. Grup ini bersifat opsional dan hanya disertakan jika Anda menggunakan anthos-gke untuk membuat GKE pada penginstalan AWS di VPC khusus.
| Jenis | Protokol | Port | Alamat | Deskripsi |
|---|---|---|---|---|
| Masuk | TCP | 22 | Blok CIDR dari bastionAllowedSSHCIDRBlocks di konfigurasi AWSManagementService. |
Izinkan SSH ke bastion host. |
| Keluar | TCP | 22 | 0.0.0.0/0 | Izinkan SSH keluar. |
| Keluar | TCP | 80 | 0.0.0.0/0 | Mengizinkan HTTP keluar. |
| Keluar | TCP | 443 | 0.0.0.0/0 | Izinkan HTTPS keluar. |
Grup keamanan bidang kontrol
Grup keamanan bidang kontrol memungkinkan koneksi antara node bidang kontrol dan layanan pengelolaan, serta antara node bidang kontrol dan kumpulan node.
Bidang kontrol terdiri dari tiga instance EC2 di belakang Load Balancer Jaringan AWS (NLB). Instance ini menerima koneksi dari instance etcd pada node lain, node kumpulan node, dan NLB. Untuk mengupdate GKE pada komponen AWS, semua traffic HTTP/HTTPS keluar diizinkan.
Anda dapat menentukan ID grup keamanan pada definisi AWSCluster.
| Jenis | Protokol | Port | Alamat | Deskripsi |
|---|---|---|---|---|
| Masuk | TCP | 2380 | SG ini | Izinkan replikasi dlld bidang kontrol. |
| Masuk | TCP | 2381 | SG ini | Izinkan replikasi peristiwa dlld bidang kontrol. |
| Masuk | TCP | 443 | Kumpulan node SG | Izinkan HTTPS dari node kumpulan node. |
| Masuk | TCP | 443 | Rentang CIDR VPC AWS | Izinkan HTTPS dari load balancer dan layanan pengelolaan. |
| Masuk | TCP | 11872 | Rentang CIDR VPC AWS | Health check HTTP untuk load balancer. |
| Keluar | TCP | 22 | Kumpulan node SG | Izinkan tunneling SSH ke kumpulan node (untuk cluster v1.20 dan yang lebih lama). |
| Masuk | TCP | 8132 | Kumpulan node SG | Izinkan koneksi Konnektivitas dari kumpulan node (untuk cluster v1.21 dan yang lebih tinggi). |
| Keluar | TCP | 80 | 0.0.0.0/0 | Mengizinkan HTTP keluar. |
| Keluar | TCP | 443 | 0.0.0.0/0 | Izinkan HTTPS keluar. |
| Keluar | TCP | 2380 | SG ini | Izinkan replikasi dlld bidang kontrol. |
| Keluar | TCP | 2381 | SG ini | Izinkan replikasi peristiwa dlld bidang kontrol. |
| Keluar | TCP | 10250 | Kumpulan node SG | Izinkan koneksi dari bidang kontrol ke Kubelet. |
Grup keamanan kumpulan node
Grup keamanan kumpulan node memungkinkan koneksi dari bidang kontrol dan node lainnya. Anda menentukan ID grup keamanan dalam definisi AWSNodePool.
| Jenis | Protokol | Port | Alamat | Deskripsi |
|---|---|---|---|---|
| Masuk | TCP | Semua | SG ini | Mengizinkan komunikasi pod ke pod. |
| Masuk | TCP | 22 | Bidang kontrol SG | Izinkan tunneling SSH dari bidang kontrol (untuk cluster v1.20 dan yang lebih lama). |
| Keluar | TCP | 8132 | Bidang kontrol SG | Izinkan koneksi Konnektivitas ke bidang kontrol (untuk cluster v1.21 dan yang lebih tinggi). |
| Masuk | TCP | 443 | Bidang kontrol SG | Izinkan koneksi dari bidang kontrol ke Kubelet. |
| Masuk | TCP | 10250 | Bidang kontrol SG | Izinkan koneksi dari bidang kontrol ke Kubelet. |
| Keluar | TCP | Semua | SG ini | Mengizinkan komunikasi pod ke pod. |
| Keluar | TCP | 80 | 0.0.0.0/0 | Mengizinkan HTTP keluar. |
| Keluar | TCP | 443 | 0.0.0.0/0 | Izinkan HTTPS keluar. |