Este tema explica cómo GKE en AWS administra las reglas de los grupos de seguridad de AWS para el clúster y cómo modificar las reglas de firewall para los grupos de nodos y las réplicas del plano de control.
Grupos de seguridad y DNS alojado
Si utiliza un servidor DNS alojado en lugar del DNS proporcionado por AWS, su plano de control y los grupos de seguridad del grupo de nodos deben permitir el tráfico saliente en el puerto TCP y UDP 53.
Grupos de seguridad del plano de control
Los grupos de seguridad del plano de control definen las reglas de firewall para el tráfico TCP entrante y saliente para cada réplica del plano de control.
El plano de control consta de tres instancias de EC2 detrás de un balanceador de carga de red ( NLB ) de AWS. Estas instancias aceptan conexiones de instancias de etcd en otros nodos, nodos del grupo de nodos y el NLB. Las instancias del plano de control también realizan conexiones HTTPS salientes a los servicios de Google y AWS.
GKE en AWS crea y asocia un grupo de seguridad del plano de control administrado a todas las instancias del plano de control. No debe modificar las reglas de este grupo. Si necesita agregar más reglas de grupo de seguridad, puede especificar IDs de grupo de seguridad adicionales para asociarlos al plano de control al crear un clúster .
Reglas del grupo de seguridad del plano de control predeterminadas
Estas son las reglas predeterminadas que GKE en AWS conecta al plano de control. Estas reglas no coincidirán exactamente con sus grupos de seguridad; cada fila de la tabla podría expandirse a varias reglas de grupos de seguridad de AWS.
| Tipo | Protocolo | Puerto | Rangos de direcciones o SG | Descripción |
|---|---|---|---|---|
| Entrante | TCP (versión del clúster < 1.26) | 443 | Gama de CIDR primaria VPC | Permitir HTTPS desde los nodos del grupo de nodos |
| Entrante | TCP (versión del clúster >= 1.26) | 443 | Rango CIDR de subred del grupo de nodos | Permitir HTTPS desde los nodos del grupo de nodos (una regla por subred utilizada por los grupos de nodos) |
| Entrante | TCP | 2380 | Plano de control SG | Permitir la replicación del plano de control etcd |
| Entrante | TCP | 2381 | Plano de control SG | Permitir la replicación de eventos etcd del plano de control |
| Entrante | TCP (versión del clúster < 1.26) | 8132 | Gama de CIDR primaria VPC | Permitir conexiones de Konnectivity desde grupos de nodos |
| Entrante | TCP (versión del clúster >= 1.26) | 8132 | Rango CIDR de subred del grupo de nodos | Permitir conexiones de Konnectivity desde nodos del grupo de nodos (una regla por subred utilizada por los grupos de nodos) |
| Entrante | TCP | 11872 | Rangos CIDR del plano de control | Comprobación del estado HTTP para el balanceador de carga |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente |
| Saliente | TCP | 2380 | Plano de control SG | Permitir la replicación del plano de control etcd |
| Saliente | TCP | 2381 | Plano de control SG | Permitir la replicación de eventos etcd del plano de control |
Grupos de seguridad de grupos de nodos
Los grupos de seguridad del grupo de nodos definen las reglas de firewall para el tráfico TCP entrante y saliente de las máquinas virtuales en los grupos de nodos.
GKE en AWS crea y asocia un grupo de seguridad de grupo de nodos administrado a todas las instancias del grupo de nodos. No debe modificar las reglas de este grupo. Si necesita agregar más reglas de grupo de seguridad, puede especificar IDs de grupo de seguridad adicionales para asociarlos a las instancias al crear un grupo de nodos .
De forma predeterminada, las máquinas virtuales del grupo de nodos no tienen puertos abiertos. Para permitir el tráfico entrante, se agrega un grupo de seguridad al grupo de nodos al crearlo y se administran las reglas de entrada y salida deseadas a través de ese grupo.
Reglas del grupo de seguridad del grupo de nodos predeterminado
Estas son las reglas predeterminadas que GKE en AWS conecta a los grupos de nodos. Estas reglas no coincidirán exactamente con sus grupos de seguridad; cada fila de la tabla podría expandirse a varias reglas de grupos de seguridad de AWS.
| Tipo | Protocolo | Puerto | Rango de direcciones o SG | Descripción |
|---|---|---|---|---|
| Entrante | TCP | Todo | Grupo de nodos SG | Permitir la comunicación de pod a pod |
| Saliente | TCP | Todo | Grupo de nodos SG | Permitir la comunicación de pod a pod |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente |
| Saliente | TCP | 8132 | Plano de control SG | Permitir conexiones de Konnectivity al plano de control |
| Saliente | TCP | 8132 | Rangos CIDR del plano de control | Permitir conexiones de Konnectivity al plano de control |
Grupos de nodos en bloques CIDR secundarios de VPC
GKE en AWS versión 1.26 y posteriores crea y administra automáticamente las reglas de grupo de seguridad necesarias para admitir grupos de nodos que usan subredes en bloques CIDR de VPC secundarios. Si usa una de estas versiones, no necesita crear grupos de seguridad personalizados ni actualizarlos manualmente.
Sin embargo, al crear grupos de seguridad del plano de control administrado, las versiones anteriores de GKE en AWS no crean reglas que admitan grupos de nodos con subredes en un bloque CIDR de VPC secundario .
Para solucionar esta limitación, cree un grupo de seguridad personalizado para su plano de control. Al crear un clúster, pase el ID del grupo de seguridad mediante el indicador --security-group-ids . Como alternativa, puede actualizar los grupos de seguridad de su clúster .
Cree el grupo de seguridad con las siguientes reglas:
| Tipo | Protocolo | Puerto | Rangos de direcciones o SG | Descripción |
|---|---|---|---|---|
| Entrante | TCP | 443 | Rangos de grupos de nodos (en bloques CIDR secundarios de VPC) | Permitir HTTPS desde los nodos del grupo de nodos |
| Entrante | TCP | 8132 | Rangos de grupos de nodos (en bloques CIDR secundarios de VPC) | Permitir conexiones de Konnectivity desde grupos de nodos |