Reglas de los grupos de seguridad

En este tema, se explica cómo GKE en AWS administra las reglas de grupos de seguridad de AWS para el clúster y cómo modificar las reglas de firewall de los grupos de nodos y las réplicas del plano de control.

Grupos de seguridad y DNS alojado

Si usas un servidor DNS alojado en lugar del DNS proporcionado por AWS, tus grupos de seguridad del plano de control y del grupo de nodos deben permitir el tráfico saliente en el puerto TCP y UDP 53.

Grupos de seguridad del plano de control

Los grupos de seguridad del plano de control definen las reglas de firewall para el tráfico de TCP entrante y saliente de cada réplica del plano de control.

El plano de control consta de tres instancias de EC2 detrás de un balanceador de cargas de red de AWS (NLB). Estas instancias aceptan conexiones desde instancias etcd en otros nodos, nodos de grupos de nodos y el NLB. Las instancias del plano de control también realizan conexiones HTTPS salientes a los servicios de Google y AWS.

GKE en AWS crea y conecta un grupo de seguridad del plano de control administrado a todas las instancias del plano de control. No debes modificar las reglas de este grupo. Si necesitas agregar más reglas de grupo de seguridad, puedes especificar ID de grupos de seguridad adicionales para adjuntar al plano de control cuando crees un clúster.

Reglas predeterminadas de grupo de seguridad del plano de control

Estas son las reglas predeterminadas que GKE on AWS adjunta al plano de control. Estas reglas no coincidirán de forma exacta con tus grupos de seguridad; puede que cada fila de la tabla se expanda a varias reglas de grupos de seguridad de AWS.

Tipo Protocol Puerto Rangos de direcciones o SG Descripción
Entrante TCP (versión del clúster < 1.26) 443 Rango de CIDR principal de la VPC Permitir HTTPS desde nodos de grupos de nodos
Entrante TCP (versión del clúster >= 1.26) 443 Rango CIDR de la subred del grupo de nodos Permitir HTTPS desde nodos de grupos de nodos (una regla por subred que usan los grupos de nodos)
Entrante TCP 2380 SG del plano de control Permitir la replicación de etcd del plano de control
Entrante TCP 2381 SG del plano de control Permitir la replicación de eventos etcd del plano de control
Entrante TCP (versión del clúster < 1.26) 8132 Rango de CIDR principal de la VPC Permitir conexiones de Konnectivity desde grupos de nodos
Entrante TCP (versión del clúster >= 1.26) 8132 Rango CIDR de la subred del grupo de nodos Permitir conexiones de Konnectivity desde nodos de grupos de nodos (una regla por subred que usan los grupos de nodos)
Entrante TCP 11872 Rangos de CIDR del plano de control Verificación de estado HTTP para el balanceador de cargas
Saliente TCP 443 0.0.0.0/0 Permitir HTTPS saliente
Saliente TCP 2380 SG del plano de control Permitir la replicación de etcd del plano de control
Saliente TCP 2381 SG del plano de control Permitir la replicación de eventos etcd del plano de control

Grupos de seguridad del grupo de nodos

Los grupos de seguridad del grupo de nodos definen las reglas de firewall para el tráfico de TCP entrante y saliente para las VM en los grupos de nodos.

GKE en AWS crea y conecta un grupo de seguridad de grupo de nodos administrado a todas las instancias del grupo de nodos. No debes modificar las reglas de este grupo. Si necesitas agregar más reglas de grupo de seguridad, puedes especificar ID de grupos de seguridad adicionales para adjuntar a las instancias cuando crees un grupo de nodos.

De forma predeterminada, las VM del grupo de nodos no tienen ningún puerto abierto. Para permitir el tráfico entrante, debes agregar un grupo de seguridad de grupo de nodos cuando creas el grupo de nodos y administrar las reglas de entrada/salida deseadas para el grupo de nodos a través de ese grupo de seguridad.

Reglas predeterminadas del grupo de seguridad de grupo de nodos

Estas son las reglas predeterminadas que GKE en AWS adjunta a los grupos de nodos. Estas reglas no coincidirán de forma exacta con tus grupos de seguridad; puede que cada fila de la tabla se expanda a varias reglas de grupos de seguridad de AWS.

Tipo Protocol Puerto Rango de direcciones o SG Descripción
Entrante TCP Todos SG de grupo de nodos Permitir la comunicación entre Pods
Saliente TCP Todos SG de grupo de nodos Permitir la comunicación entre Pods
Saliente TCP 443 0.0.0.0/0 Permitir HTTPS saliente
Saliente TCP 8132 SG del plano de control Permitir conexiones de Konnectivity al plano de control
Saliente TCP 8132 Rangos de CIDR del plano de control Permitir conexiones de Konnectivity al plano de control

Grupos de nodos en bloques de CIDR secundarios de VPC

La versión 1.26 de GKE en AWS y las posteriores crean y administran automáticamente las reglas de grupos de seguridad necesarias para admitir grupos de nodos mediante subredes en bloques CIDR de VPC secundarios. Si usas una de estas versiones, no es necesario que crees grupos de seguridad personalizados ni los actualices de forma manual.

Sin embargo, cuando se crean grupos de seguridad del plano de control administrado, las versiones anteriores de GKE en AWS no crean reglas que admitan grupos de nodos con subredes en un bloque CIDR de VPC secundario.

A fin de evitar esta limitación, crea un grupo de seguridad personalizado para tu plano de control. Cuando creas un clúster con la marca --security-group-ids, debes pasar el ID del grupo de seguridad. Como alternativa, puedes actualizar los grupos de seguridad de tu clúster.

Crea el grupo de seguridad con las siguientes reglas:

Tipo Protocol Puerto Rangos de direcciones o SG Descripción
Entrante TCP 443 Rangos de grupos de nodos (en bloques de CIDR secundarios de VPC) Permitir HTTPS desde nodos de grupos de nodos
Entrante TCP 8132 Rangos de grupos de nodos (en bloques de CIDR secundarios de VPC) Permitir conexiones de Konnectivity desde grupos de nodos

¿Qué sigue?