Grup keamanan untuk GKE di AWS

Topik ini menjelaskan grup keamanan AWS (SG) yang Anda perlukan untuk GKE di AWS.

Jika Anda Menginstal layanan pengelolaan atau Menggunakan VPC AWS yang sudah ada, anthos-gke akan membuat grup keamanan untuk Anda. Anda dapat mengonfigurasi CRD AWSCluster dan AWSNodePool dengan daftar ID grup keamanan tambahan.

Diagram berikut menguraikan cara GKE di AWS menggunakan grup keamanan untuk terhubung ke layanan Google Cloud dan AWS.

Diagram port dan koneksi dari GKE pada komponen AWS ke layanan Google Cloud dan AWS.

Grup keamanan layanan pengelolaan

Grup keamanan layanan pengelolaan mengizinkan akses ke API layanan pengelolaan dengan HTTPS. Jika Anda telah mengonfigurasi bastion host, Masuk dari grup bastion security akan diizinkan.

Jika membuat GKE di lingkungan AWS ke dalam VPC AWS yang ada, Anda harus memiliki grup keamanan yang mengizinkan koneksi berikut.

Jenis Protokol Port Alamat Deskripsi
Masuk TCP 443 CIDR VPC Izinkan HTTPS dari VPC AWS.
Masuk TCP 22 Bastion host SG Izinkan tunneling SSH dari bastion host (hanya disertakan dalam VPC khusus).
Keluar TCP 80 0.0.0.0/0 Mengizinkan HTTP keluar.
Keluar TCP 443 0.0.0.0/0 Izinkan HTTPS keluar.

Akses domain keluar

Layanan pengelolaan memerlukan akses keluar ke domain berikut.

  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • oauth2.googleapis.com
  • storage.googleapis.com
  • www.googleapis.com
  • gcr.io
  • k8s.gcr.io
  • EC2-REGION.ec2.archive.ubuntu.com

Ganti EC2-REGION dengan region AWS EC2 tempat penginstalan GKE di AWS berjalan. Misalnya, us-west-1.ec2.archive.ubuntu.com/.

Jika Anda menggunakan Cloud Service Mesh dengan Prometheus dan Kiali, izinkan akses keluar dari domain berikut:

  • docker.io
  • quay.io

Grup keamanan bastion host (opsional)

Anda menggunakan koneksi grup keamanan bastion host yang diizinkan oleh grupnya untuk terhubung ke GKE Anda di layanan pengelolaan AWS dan cluster pengguna. Grup ini bersifat opsional dan hanya disertakan jika Anda menggunakan anthos-gke untuk membuat GKE pada penginstalan AWS di VPC khusus.

Jenis Protokol Port Alamat Deskripsi
Masuk TCP 22 Blok CIDR dari bastionAllowedSSHCIDRBlocks di konfigurasi AWSManagementService. Izinkan SSH ke bastion host.
Keluar TCP 22 0.0.0.0/0 Izinkan SSH keluar.
Keluar TCP 80 0.0.0.0/0 Mengizinkan HTTP keluar.
Keluar TCP 443 0.0.0.0/0 Izinkan HTTPS keluar.

Grup keamanan bidang kontrol

Grup keamanan bidang kontrol memungkinkan koneksi antara node bidang kontrol dan layanan pengelolaan, serta antara node bidang kontrol dan kumpulan node.

Bidang kontrol terdiri dari tiga instance EC2 di belakang Load Balancer Jaringan AWS (NLB). Instance ini menerima koneksi dari instance etcd pada node lain, node kumpulan node, dan NLB. Untuk mengupdate GKE pada komponen AWS, semua traffic HTTP/HTTPS keluar diizinkan.

Anda dapat menentukan ID grup keamanan pada definisi AWSCluster.

Jenis Protokol Port Alamat Deskripsi
Masuk TCP 2380 SG ini Izinkan replikasi dlld bidang kontrol.
Masuk TCP 2381 SG ini Izinkan replikasi peristiwa dlld bidang kontrol.
Masuk TCP 443 Kumpulan node SG Izinkan HTTPS dari node kumpulan node.
Masuk TCP 443 Rentang CIDR VPC AWS Izinkan HTTPS dari load balancer dan layanan pengelolaan.
Masuk TCP 11872 Rentang CIDR VPC AWS Health check HTTP untuk load balancer.
Keluar TCP 22 Kumpulan node SG Izinkan tunneling SSH ke kumpulan node (untuk cluster v1.20 dan yang lebih lama).
Masuk TCP 8132 Kumpulan node SG Izinkan koneksi Konnektivitas dari kumpulan node (untuk cluster v1.21 dan yang lebih tinggi).
Keluar TCP 80 0.0.0.0/0 Mengizinkan HTTP keluar.
Keluar TCP 443 0.0.0.0/0 Izinkan HTTPS keluar.
Keluar TCP 2380 SG ini Izinkan replikasi dlld bidang kontrol.
Keluar TCP 2381 SG ini Izinkan replikasi peristiwa dlld bidang kontrol.
Keluar TCP 10250 Kumpulan node SG Izinkan koneksi dari bidang kontrol ke Kubelet.

Grup keamanan kumpulan node

Grup keamanan kumpulan node memungkinkan koneksi dari bidang kontrol dan node lainnya. Anda menentukan ID grup keamanan dalam definisi AWSNodePool.

Jenis Protokol Port Alamat Deskripsi
Masuk TCP Semua SG ini Mengizinkan komunikasi pod ke pod.
Masuk TCP 22 Bidang kontrol SG Izinkan tunneling SSH dari bidang kontrol (untuk cluster v1.20 dan yang lebih lama).
Keluar TCP 8132 Bidang kontrol SG Izinkan koneksi Konnektivitas ke bidang kontrol (untuk cluster v1.21 dan yang lebih tinggi).
Masuk TCP 443 Bidang kontrol SG Izinkan koneksi dari bidang kontrol ke Kubelet.
Masuk TCP 10250 Bidang kontrol SG Izinkan koneksi dari bidang kontrol ke Kubelet.
Keluar TCP Semua SG ini Mengizinkan komunikasi pod ke pod.
Keluar TCP 80 0.0.0.0/0 Mengizinkan HTTP keluar.
Keluar TCP 443 0.0.0.0/0 Izinkan HTTPS keluar.