Groupes de sécurité réseau
Cette page décrit et liste les groupes de sécurité réseau Azure (Network Security Group ou NSG) requis par GKE sur Azure.
NSG gérés
Les clusters GKE sur Azure gèrent les NSG associés à la carte d'interface réseau (NIC) de chaque instance de machine virtuelle (VM). Pour mieux contrôler le trafic réseau, vous pouvez ajouter des NSG supplémentaires à vos sous-réseaux.
GKE sur Azure gère automatiquement les règles NSG requises. Il ajoute les règles NSG manquantes et supprime les règles qui ne sont plus nécessaires. GKE sur Azure modifie également les règles en fonction de la configuration de votre service Kubernetes. Par exemple, lorsque vous ajoutez un service Kubernetes de type LoadBalancer
, GKE sur Azure ajoute les règles NSG correspondantes.
Priorités des règles
Les priorités des règles NSG Azure sont comprises entre 100 et 4 096. Plus la valeur est faible, plus la priorité est élevée.
De par sa conception, GKE sur Azure ne gère que les règles NSG ayant une priorité de 500 ou plus. Par conséquent, si vous devez mettre en œuvre une règle spécifique ou créer des règles supplémentaires, vous pouvez utiliser des NSG avec une priorité comprise entre 100 et 499.
Azure traite les règles dans l'ordre, en commençant par le numéro de priorité le plus faible et en remontant. Lorsque vous créez une règle, choisissez toujours des priorités de règles comprises entre 100 et 499 pour éviter tout conflit avec les règles NSG Anthos existantes.
Groupes de sécurité des applications
GKE sur Azure crée deux groupes de sécurité d'application (ASG) qui s'appliquent aux cartes d'interface réseau (NIC) virtuelles des plans de contrôle et des nœuds de calcul. GKE sur Azure met à jour les ASG automatiquement, par exemple lorsque vous ajoutez un pool de nœuds à un cluster. Vous pouvez utiliser ces ASG lors de la création de règles NSG.
Les ID Azure Resource Manager (ARM) du NSG et de l'ASG du plan de contrôle peuvent être obtenus à partir du résultat de gcloud container azure clusters describe
.
Par exemple, pour autoriser les connexions SSH aux VM du plan de contrôle, exécutez la commande az network nsg rule create
afin de créer un NSG qui référence l'ASG du plan de contrôle :
NSG_NAME=$(basename $(gcloud container azure clusters describe \
CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
--format 'value(managedResources.networkSecurityGroupId)'))
ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
--format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))
az network nsg rule create \
--name AllowSshToControlPlane \
--nsg-name "${NSG_NAME}" \
--priority 100 \
--resource-group "CLUSTER_RESOURCE_GROUP" \
--access Allow \
--protocol Tcp \
--destination-port-ranges 22 \
--destination-asgs "${ASG_CP_NAME}"
Remplacez les éléments suivants :
CLUSTER_NAME
: nom du clusterGOOGLE_CLOUD_LOCATION
: zone Google Cloud qui gère votre clusterCLUSTER_RESOURCE_GROUP
: nom du groupe de ressources Azure contenant votre cluster
Pour en savoir plus sur la création d'une règle, suivez la procédure décrite dans la section Créer une règle Azure NSG.
Règles NSG par défaut
Lorsque vous configurez GKE sur Azure, la solution crée les règles NSG suivantes dans votre réseau virtuel Azure.
Priorité | Ports | Protocole | Source | Destination | Action | Usage |
---|---|---|---|---|---|---|
1000 | 2380, 2381 | TCP | Cartes d'interface réseau de plan de contrôle | Cartes d'interface réseau de plan de contrôle | Autoriser | Communication entre le plan de contrôle et etcd |
1001 | 443, 8132 | TCP | Tout | Cartes d'interface réseau de plan de contrôle | Autoriser | Autoriser l'accès à l'API Kubernetes |
1002 | 10250 | TCP | Cartes d'interface réseau de plan de contrôle | Cartes d'interface réseau de pool de nœuds | Autoriser | Communications entre le plan de contrôle et le nœud |
1003 | 10250, 10255 | TCP | Cartes d'interface réseau de pool de nœuds | Cartes d'interface réseau de pool de nœuds | Autoriser | Communication nœud à nœud |
1004 | 6081 | UDP | Cartes d'interface réseau de pool de nœuds | Cartes d'interface réseau de pool de nœuds | Autoriser | Communication CNI nœud à nœud |
1005 | Tout | Tout | Équilibreur de charge Azure | Tout | Autoriser | Autoriser le trafic entrant vers l'équilibreur de charge |
4 096 | Tout | Tout | Tout | Tout | Refuser | Refuser toutes les connexions entrantes non couvertes par une autre règle |