Grupos de segurança para GKE na AWS

Este tópico explica os grupos de segurança (SG) da AWS necessários para o GKE na AWS.

Se você instalar um serviço de gerenciamento ou Usar uma VPC atual da AWS, anthos-gke criará grupos de segurança para você. É possível configurar os CRDs AWSCluster e AWSNodePool com uma lista de IDs adicionais de grupos de segurança.

O diagrama a seguir descreve como o GKE na AWS usam grupos de segurança para se conectar aos serviços do Google Cloud e da AWS.

Diagrama de portas e conexões de componentes do GKE na AWS para serviços do Google Cloud e da AWS.

Grupo de segurança do serviço de gerenciamento

O grupo de segurança do serviço de gerenciamento permite o acesso à API de serviço de gerenciamento com HTTPS. Se você tiver um Bastion Host configurado, a entrada do grupo de segurança de Bastion será permitida.

Se você criar um GKE no ambiente da AWS em uma VPC atual da AWS, será necessário ter um grupo de segurança para as conexões a seguir.

Tipo Protocolo Porta Endereço Descrição
Entrada TCP 443 CIDR de VPC; Permitir HTTPS da VPC da AWS.
Entrada TCP 22 Bastion Host SG Permitir tunelamento SSH do Bastion Host (incluído apenas na VPC dedicada).
Saída TCP 80 0.0.0.0/0 Permitir HTTP de saída.
Saída TCP 443 0.0.0.0/0 Permitir HTTPS de saída.

Acesso ao domínio de saída

O serviço de gerenciamento requer acesso de saída aos seguintes domínios.

  • gkeconnect.googleapis.com
  • gkehub.googleapis.com
  • oauth2.googleapis.com
  • storage.googleapis.com
  • www.googleapis.com
  • gcr.io
  • k8s.gcr.io
  • EC2-REGION.ec2.archive.ubuntu.com

Substitua EC2-REGION pela região do AWS EC2 em que a instalação do GKE na AWS é executada. Por exemplo, us-west-1.ec2.archive.ubuntu.com/.

Se você estiver usando o Anthos Service Mesh com Prometheus e o Kiali, permita o acesso de saída dos seguintes domínios:

  • docker.io
  • quay.io

Grupo de segurança do Bastion Host (opcional)

Use as conexões do grupo de segurança do Bastion Host permitidas pelo grupo para se conectar ao GKE no serviço de gerenciamento da AWS e nos clusters de usuários. Este grupo é opcional e só é incluído se você usar anthos-gke para criar um GKE na instalação da AWS em uma VPC dedicada.

Tipo Protocolo Porta Endereço Descrição
Entrada TCP 22 Bloco de CIDR de bastionAllowedSSHCIDRBlocks na configuração do AWSManagementService. Permitir SSH para Bastion Host.
Saída TCP 22 0.0.0.0/0 Permitir SSH de saída.
Saída TCP 80 0.0.0.0/0 Permitir HTTP de saída.
Saída TCP 443 0.0.0.0/0 Permitir HTTPS de saída.

Grupo de segurança do plano de controle

O grupo de segurança do plano de controle permite conexões entre os nós do plano de controle e o serviço de gerenciamento, bem como entre os nós e os pools de nós do plano de controle.

O plano de controle consiste em três instâncias do EC2 por trás de um balanceador de carga de rede (NLB) da AWS. Essas instâncias aceitam conexões de instâncias do etcd em outros nós, pool de nós e a NLB. Para atualizar o GKE nos componentes da AWS, todo o tráfego HTTP/HTTPS de saída é permitido.

Especifique os IDs do grupo de segurança na definição AWSCluster.

Tipo Protocolo Porta Endereço Descrição
Entrada TCP 2380 Essa SG Permitir a replicação do etcd do plano de controle.
Entrada TCP 2381 Essa SG Permitir a replicação de eventos do etcd do plano de controle.
Entrada TCP 443 Pool de nós SG Permitir HTTPS dos nós do pool de nós.
Entrada TCP 443 Intervalo CIDR da VPC da AWS Permitir HTTPS do balanceador de carga e do serviço de gerenciamento.
Entrada TCP 11872 Intervalo CIDR da VPC da AWS Verificação de integridade de HTTP para o balanceador de carga.
Saída TCP 22 Pool de nós SG Permitir o encapsulamento SSH para pools de nós (para clusters v1.20 e anteriores).
Entrada TCP 8132 Pool de nós SG Permitir a conexão do Konnectivity dos pools de nós (para clusters v1.21 e posteriores).
Saída TCP 80 0.0.0.0/0 Permitir HTTP de saída.
Saída TCP 443 0.0.0.0/0 Permitir HTTPS de saída.
Saída TCP 2380 Essa SG Permitir a replicação do etcd do plano de controle.
Saída TCP 2381 Essa SG Permitir a replicação de eventos do etcd do plano de controle.
Saída TCP 10250 Pool de nós SG Permitir conexões do plano de controle ao Kubelet.

Grupo de segurança do pool de nós

O grupo de segurança do pool de nós permite conexões do plano de controle e de outro nó. Especifique os IDS dos grupos de segurança nas definições do AWSNodePool.

Tipo Protocolo Porta Endereço Descrição
Entrada TCP Tudo Essa SG Permitir a comunicação entre pods.
Entrada TCP 22 Plano de controle SG Permitir o encapsulamento SSH do plano de controle (para clusters v1.20 e anteriores).
Saída TCP 8132 Plano de controle SG Permitir conexões do Konnectivity para o plano de controle (para clusters v1.21 e posteriores).
Entrada TCP 443 Plano de controle SG Permitir conexões do plano de controle ao Kubelet.
Entrada TCP 10250 Plano de controle SG Permitir conexões do plano de controle ao Kubelet.
Saída TCP Tudo Essa SG Permitir a comunicação entre pods.
Saída TCP 80 0.0.0.0/0 Permitir HTTP de saída.
Saída TCP 443 0.0.0.0/0 Permitir HTTPS de saída.