Topik ini menjelaskan cara GKE di AWS mengelola aturan grup keamanan AWS untuk cluster, dan cara memodifikasi aturan firewall untuk kumpulan node dan replika bidang kontrol.
Grup keamanan dan DNS yang dihosting
Jika Anda menggunakan server DNS yang dihosting, dan bukan DNS yang disediakan AWS, grup keamanan bidang kontrol dan kumpulan node Anda harus mengizinkan traffic keluar di TCP dan UDP port 53.
Grup keamanan pesawat kontrol
Grup keamanan bidang kontrol menentukan aturan firewall untuk traffic TCP masuk dan keluar untuk setiap replika bidang kontrol.
Bidang kontrol terdiri dari tiga instance EC2 di belakang Load Balancer Jaringan AWS (NLB). Instance ini menerima koneksi dari instance etcd di node lain, node kumpulan node, dan NLB. Instance bidang kontrol juga membuat koneksi HTTPS keluar ke layanan Google dan AWS.
GKE di AWS membuat dan melampirkan grup keamanan bidang kontrol terkelola ke semua instance bidang kontrol. Anda tidak boleh mengubah aturan dalam grup ini. Jika perlu menambahkan aturan grup keamanan lainnya, Anda dapat menentukan ID grup keamanan tambahan untuk dipasang ke bidang kontrol saat Membuat cluster.
Aturan grup keamanan bidang kontrol default
Ini adalah aturan default yang disertakan GKE di AWS ke bidang kontrol. Aturan ini tidak akan sama persis dengan grup keamanan Anda; setiap baris dalam tabel dapat diperluas menjadi beberapa aturan grup keamanan AWS.
Jenis | Protokol | Port | Rentang alamat IP atau SG | Deskripsi |
---|---|---|---|---|
Masuk | TCP (versi cluster < 1.26) | 443 | Rentang CIDR Utama VPC | Mengizinkan HTTPS dari node kumpulan node |
Masuk | TCP (versi cluster >= 1.26) | 443 | Rentang CIDR subnet dari kumpulan node | Izinkan HTTPS dari node kumpulan node (satu aturan per subnet yang digunakan oleh kumpulan node) |
Masuk | TCP | 2380 | Pesawat kontrol SG | Izinkan replikasi etcd bidang kontrol |
Masuk | TCP | 2381 | Pesawat kontrol SG | Izinkan replikasi peristiwa etcd bidang kontrol |
Masuk | TCP (versi cluster < 1.26) | 8132 | Rentang CIDR Utama VPC | Mengizinkan koneksi Konnektivitas dari node pool |
Masuk | TCP (versi cluster >= 1.26) | 8132 | Rentang CIDR subnet dari kumpulan node | Izinkan koneksi Konnektivitas dari node kumpulan node (satu aturan per subnet yang digunakan oleh kumpulan node) |
Masuk | TCP | 11872 | Rentang CIDR bidang kontrol | Health check HTTP untuk load balancer |
Keluar | TCP | 443 | 0.0.0.0/0 | Mengizinkan HTTPS keluar |
Keluar | TCP | 2380 | Pesawat kontrol SG | Izinkan replikasi etcd bidang kontrol |
Keluar | TCP | 2381 | Pesawat kontrol SG | Izinkan replikasi peristiwa etcd bidang kontrol |
Grup keamanan kumpulan node
Grup keamanan kumpulan node menentukan aturan firewall untuk traffic TCP masuk dan keluar untuk VM di kumpulan node.
GKE di AWS membuat dan melampirkan grup keamanan kumpulan node terkelola ke semua instance node pool. Anda tidak boleh mengubah aturan dalam grup ini. Jika perlu menambahkan aturan grup keamanan lainnya, Anda dapat menentukan ID grup keamanan tambahan untuk ditambahkan ke instance saat Membuat kumpulan node.
Secara default, VM kumpulan node tidak memiliki port yang terbuka. Untuk mengizinkan traffic masuk, Anda menambahkan grup keamanan kumpulan node saat membuat kumpulan node, dan mengelola aturan masuk/keluar yang diinginkan untuk kumpulan node melalui grup keamanan tersebut.
Aturan grup keamanan kumpulan node default
Ini adalah aturan default yang dipasang GKE di AWS ke kumpulan node. Aturan ini tidak akan sama persis dengan grup keamanan Anda; setiap baris dalam tabel dapat diperluas menjadi beberapa aturan grup keamanan AWS.
Jenis | Protokol | Port | Rentang alamat IP atau SG | Deskripsi |
---|---|---|---|---|
Masuk | TCP | Semua | Kumpulan node SG | Mengizinkan komunikasi pod-ke-pod |
Keluar | TCP | Semua | Kumpulan node SG | Mengizinkan komunikasi pod-ke-pod |
Keluar | TCP | 443 | 0.0.0.0/0 | Mengizinkan HTTPS keluar |
Keluar | TCP | 8132 | Pesawat kontrol SG | Izinkan koneksi Konnektivitas ke bidang kontrol |
Keluar | TCP | 8132 | Rentang CIDR bidang kontrol | Izinkan koneksi Konnektivitas ke bidang kontrol |
Kumpulan node dalam blok CIDR Sekunder VPC
GKE pada AWS versi 1.26 dan yang lebih baru akan otomatis membuat dan mengelola aturan grup keamanan yang diperlukan untuk mendukung kumpulan node menggunakan subnet dalam blok CIDR VPC sekunder. Jika menggunakan salah satu versi ini, Anda tidak perlu membuat grup keamanan kustom atau mengupdatenya secara manual.
Namun, saat membuat grup keamanan bidang kontrol terkelola, versi GKE yang lama di AWS tidak membuat aturan yang mendukung kumpulan node dengan subnet di blok CIDR VPC sekunder.
Untuk mengatasi batasan ini, buat grup keamanan khusus untuk bidang
kontrol. Anda meneruskan ID grup keamanan saat membuat cluster menggunakan tanda --security-group-ids
. Atau, Anda dapat
Mengupdate grup keamanan cluster.
Buat grup keamanan dengan aturan berikut:
Jenis | Protokol | Port | Rentang alamat IP atau SG | Deskripsi |
---|---|---|---|---|
Masuk | TCP | 443 | Rentang kumpulan node (dalam blok CIDR sekunder VPC) | Mengizinkan HTTPS dari node kumpulan node |
Masuk | TCP | 8132 | Rentang kumpulan node (dalam blok CIDR sekunder VPC) | Mengizinkan koneksi Konnektivitas dari node pool |