Grupos de seguridad de red

En esta página se describen y se enumeran los grupos de seguridad de red (NSGs) de Azure que requiere GKE en Azure.

Esta página está dirigida a especialistas en redes que quieran instalar, configurar y ofrecer asistencia para equipos de redes. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas de usuario habituales de GKE.

Grupos de seguridad de red gestionados

GKE en Azure gestiona los grupos de seguridad de red (NSGs) asociados a la tarjeta de interfaz de red (NIC) de cada instancia de máquina virtual (VM). Para controlar aún más el tráfico de red, puede añadir más NSGs a sus subredes.

GKE en Azure gestiona automáticamente las reglas de NSG necesarias. Añade las reglas de NSG que faltan y elimina las que ya no son necesarias. GKE en Azure también modifica las reglas en función de la configuración de tu servicio de Kubernetes. Por ejemplo, cuando añades un servicio de Kubernetes de tipo LoadBalancer, GKE en Azure añade las reglas de NSG correspondientes.

Prioridades de reglas

Las prioridades de las reglas de NSG de Azure tienen un intervalo entre 100 y 4096. Cuanto menor sea el número de prioridad, mayor será la prioridad.

Por diseño, GKE en Azure solo gestiona las reglas de NSG con una prioridad de 500 o superior. Por lo tanto, si necesitas implementar una regla específica o crear reglas adicionales, puedes usar NSGs con una prioridad entre 100 y 499.

Azure procesa las reglas en orden, empezando por el número de prioridad más bajo y siguiendo hacia arriba. Cuando crees una regla, elige siempre prioridades de regla entre 100 y 499 para evitar conflictos con las reglas de NSG de Anthos.

Grupos de seguridad de aplicaciones

GKE en Azure crea dos grupos de seguridad de aplicaciones (ASGs) que se aplican a las NICs virtuales de los planos de control y los nodos de trabajador. GKE en Azure actualiza los conjuntos de escalado automático automáticamente. Por ejemplo, cuando añades un nuevo grupo de nodos a un clúster. Puede usar estos grupos de seguridad de aplicaciones al crear reglas de NSG.

Los IDs de Azure Resource Manager (ARM) del NSG y del ASG del plano de control se pueden obtener del resultado de gcloud container azure clusters describe.

Por ejemplo, para permitir las conexiones SSH a las VMs del plano de control, ejecuta el comando az network nsg rule create para crear un NSG que haga referencia al ASG del plano de control:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Haz los cambios siguientes:

• CLUSTER_NAME: el nombre de tu clúster
• GOOGLE_CLOUD_LOCATION: la Google Cloud ubicación que gestiona tu clúster
• CLUSTER_RESOURCE_GROUP: el nombre del grupo de recursos de Azure que contiene el clúster

Para obtener más información sobre cómo crear una regla, sigue el procedimiento descrito en Creación de reglas de NSG de Azure.

Reglas de NSG predeterminadas

Cuando configura GKE en Azure, se crean las siguientes reglas de NSG en su red virtual de Azure.