이 문서에서 설명하는 제품인 AWS용 GKE는 현재 유지보수 모드에 있으며 2027년 3월 17일에 종료될 예정입니다.

보안 그룹 규칙

이 주제에서는 AWS용 GKE에서 클러스터에 대한 AWS 보안 그룹 규칙을 관리하고 노드 풀 및 제어 영역 복제본에 대해 방화벽 규칙을 수정하는 방법을 설명합니다.

보안 그룹 및 호스팅된 DNS

AWS에서 제공하는 DNS 대신 호스팅된 DNS 서버를 사용하는 경우 제어 영역 및 노드 풀 보안 그룹이 TCP 및 UDP 포트 53에서 아웃바운드 트래픽을 허용해야 합니다.

제어 영역 보안 그룹

제어 영역 보안 그룹은 각 제어 영역 복제본의 인바운드 및 아웃바운드 TCP 트래픽을 위해 방화벽 규칙을 정의합니다.

제어 영역은 AWS 네트워크 부하 분산기(NLB) 뒤에 있는 세 개의 EC2 인스턴스로 구성됩니다. 이러한 인스턴스는 다른 노드, 노드 풀 노드, NLB의 etcd 인스턴스에서 연결하도록 허용합니다. 또한 제어 영역 인스턴스는 Google 및 AWS 서비스에 대해 아웃바운드 HTTPS 연결을 수행합니다.

AWS용 GKE는 모든 제어 영역 인스턴스에 대해 관리되는 제어 영역 보안 그룹을 만들고 연결합니다. 이 그룹의 규칙은 수정하지 않아야 합니다. 보안 그룹 규칙을 더 추가해야 할 경우에는 대신 클러스터를 만들 때 제어 영역에 연결할 추가 보안 그룹 ID를 지정합니다.

기본 제어 영역 보안 그룹 규칙

다음은 AWS용 GKE가 제어 영역에 연결하는 기본 규칙입니다. 이러한 규칙은 사용자의 보안 그룹과 정확하게 일치하지 않습니다. 표의 각 행은 여러 AWS 보안 그룹 규칙으로 확장될 수 있습니다.

유형	프로토콜	포트	주소 범위 또는 SG	설명
인바운드	TCP(클러스터 버전 1.26 미만)	443	VPC 기본 CIDR 범위	노드 풀 노드에서 HTTPS를 허용합니다.
인바운드	TCP(클러스터 버전 1.26 이상)	443	노드 풀의 서브넷 CIDR 범위	노드 풀 노드에서 HTTPS를 허용합니다(노드 풀에서 사용하는 서브넷당 규칙 하나).
인바운드	TCP	2380	제어 영역 SG	제어 영역 etcd 복제를 허용합니다.
인바운드	TCP	2381	제어 영역 SG	제어 영역 etcd 이벤트 복제를 허용합니다.
인바운드	TCP(클러스터 버전 1.26 미만)	8132	VPC 기본 CIDR 범위	노드 풀의 Konnectality 연결을 허용합니다.
인바운드	TCP(클러스터 버전 1.26 이상)	8132	노드 풀의 서브넷 CIDR 범위	노드 풀 노드에서 Konnectivity 연결을 허용합니다(노드 풀에서 사용하는 서브넷당 규칙 하나).
인바운드	TCP	11872	제어 영역 CIDR 범위	부하 분산기의 HTTP 상태 확인
아웃바운드	TCP	443	0.0.0.0/0	아웃바운드 HTTPS를 허용합니다.
아웃바운드	TCP	2380	제어 영역 SG	제어 영역 etcd 복제를 허용합니다.
아웃바운드	TCP	2381	제어 영역 SG	제어 영역 etcd 이벤트 복제를 허용합니다.

노드 풀 보안 그룹

노드 풀 보안 그룹은 노드 풀의 VM에서 인바운드 및 아웃바운드 TCP 트래픽에 대해 방화벽 규칙을 정의합니다.

AWS용 GKE는 관리되는 노드 풀 보안 그룹을 만들고 이를 모든 노드 풀 인스턴스에 연결합니다. 이 그룹의 규칙은 수정하지 않아야 합니다. 보안 그룹 역할을 더 추가해야 할 경우에는 대신 노드 풀을 만들 때 인스턴스에 연결할 추가 보안 그룹 ID를 지정합니다.

기본적으로 노드 풀 VM에는 열린 포트가 없습니다. 수신 트래픽을 허용하려면 노드 풀을 만들 때 노드 풀 보안 그룹을 추가하고 보안 그룹을 통해 노드 풀에 대해 원하는 인바운드/아웃바운드 규칙을 관리합니다.

기본 노드 풀 보안 그룹 규칙

다음은 AWS용 GKE가 노드 풀에 연결하는 기본 규칙입니다. 이러한 규칙은 사용자의 보안 그룹과 정확하게 일치하지 않습니다. 표의 각 행은 여러 AWS 보안 그룹 규칙으로 확장될 수 있습니다.

유형	프로토콜	포트	주소 범위 또는 SG	설명
인바운드	TCP	전체	노드 풀 SG	포드 간 통신을 허용합니다.
아웃바운드	TCP	전체	노드 풀 SG	포드 간 통신을 허용합니다.
아웃바운드	TCP	443	0.0.0.0/0	아웃바운드 HTTPS를 허용합니다.
아웃바운드	TCP	8132	제어 영역 SG	제어 영역에 대해 Konnectivity 연결을 허용합니다.
아웃바운드	TCP	8132	제어 영역 CIDR 범위	제어 영역에 대해 Konnectivity 연결을 허용합니다.

VPC 보조 CIDR 블록의 노드 풀

AWS용 GKE 버전 1.26 이상에서는 보조 VPC CIDR 블록의 서브넷을 사용하여 노드 풀을 지원하는 데 필요한 보안 그룹 규칙을 자동으로 만들고 관리합니다. 이러한 버전 중 하나를 사용하는 경우에는 커스텀 보안 그룹을 만들거나 수동으로 업데이트할 필요가 없습니다.

하지만 관리형 제어 영역 보안 그룹을 만들 때 이전 버전의 AWS용 GKE에서는 보조 VPC CIDR 블록의 서브넷을 사용하여 노드 풀을 지원하는 규칙을 만들지 않습니다.

이러한 제한을 해결하기 위해서는 제어 영역에 대해 커스텀 보안 그룹을 만듭니다. --security-group-ids 플래그를 사용하여 클러스터를 만들 때 보안 그룹 ID를 전달합니다. 또는 클러스터의 보안 그룹을 업데이트할 수 있습니다.

다음 규칙을 사용하여 보안 그룹을 만듭니다.

유형	프로토콜	포트	주소 범위 또는 SG	설명
인바운드	TCP	443	노드 풀 범위(VPC 보조 CIDR 블록)	노드 풀 노드에서 HTTPS를 허용합니다.
인바운드	TCP	8132	노드 풀 범위(VPC 보조 CIDR 블록)	노드 풀의 Konnectality 연결을 허용합니다.

보안 그룹 규칙 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.