Questo argomento spiega i gruppi di sicurezza AWS (SG) necessari per GKE su AWS.
Se
installi un servizio di gestione o
utilizzi un VPC AWS esistente,
anthos-gke crea i gruppi di sicurezza per te. Puoi configurare i
AWSCluster e
AWSNodePool con un elenco di
ID di gruppi di sicurezza aggiuntivi.
Il seguente diagramma illustra come GKE su AWS utilizza i gruppi di sicurezza per connettersi ai Google Cloud servizi AWS.
Gruppo di sicurezza del servizio di gestione
Il gruppo di sicurezza del servizio di gestione consente l'accesso all'API del servizio di gestione con HTTPS. Se hai configurato un bastion host, è consentito il traffico in entrata dal gruppo di sicurezza del bastion host.
Se crei un ambiente GKE su AWS in un VPC AWS esistente, devi disporre di un gruppo di sicurezza che consenta le seguenti connessioni.
| Tipo | Protocollo | Porta | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 443 | CIDR VPC | Consenti HTTPS dal VPC AWS. |
| In entrata | TCP | 22 | SG bastion host | Consenti il tunneling SSH dal bastion host (incluso solo nel VPC dedicato). |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |
Accesso al dominio in uscita
Il servizio di gestione richiede l'accesso in uscita ai seguenti domini.
gkeconnect.googleapis.comgkehub.googleapis.comoauth2.googleapis.comstorage.googleapis.comwww.googleapis.comgcr.iok8s.gcr.ioEC2-REGION.ec2.archive.ubuntu.com
Sostituisci EC2-REGION con la regione AWS EC2 in cui è in esecuzione l'installazione di
GKE su AWS. Ad esempio, us-west-1.ec2.archive.ubuntu.com/.
Se utilizzi Cloud Service Mesh con Prometheus e Kiali, consenti l'accesso in uscita dai seguenti domini:
docker.ioquay.io
Gruppo di sicurezza del bastion host (facoltativo)
Utilizza le connessioni del gruppo di sicurezza del bastion host consentite da questo gruppo per
connetterti al servizio di gestione GKE su AWS e ai cluster utente. Questo gruppo è facoltativo e viene incluso solo se utilizzi anthos-gke per
creare un'installazione di GKE su AWS in un
VPC dedicato.
| Tipo | Protocollo | Porta | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 22 | Blocco CIDR da bastionAllowedSSHCIDRBlocks nella
AWSManagementService
configurazione. |
Consenti SSH al bastion host. |
| In uscita | TCP | 22 | 0.0.0.0/0 | Consenti SSH in uscita. |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |
Gruppo di sicurezza del control plane
Il gruppo di sicurezza del control plane consente le connessioni tra i nodi del control plane e il servizio di gestione e tra i nodi del control plane e i pool di nodi.
Il control plane è costituito da tre EC2 EC2 dietro un bilanciatore del carico di rete AWS (NLB). Queste istanze accettano connessioni da istanze etcd su altri nodi, nodi del pool di nodi e NLB. Per aggiornare i componenti di GKE su AWS, è consentito tutto il traffico HTTP/HTTPS in uscita.
Specifica gli ID dei gruppi di sicurezza nella definizione di AWSCluster.
| Tipo | Protocollo | Porta | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 2380 | Questo SG | Consenti la replica etcd del control plane. |
| In entrata | TCP | 2381 | Questo SG | Consenti la replica degli eventi etcd del control plane. |
| In entrata | TCP | 443 | SG pool di nodi | Consenti HTTPS dai nodi del pool di nodi. |
| In entrata | TCP | 443 | Intervallo CIDR VPC AWS | Consenti HTTPS dal bilanciatore del carico e dal servizio di gestione. |
| In entrata | TCP | 11872 | Intervallo CIDR VPC AWS | Controllo di integrità HTTP per il bilanciatore del carico. |
| In uscita | TCP | 22 | SG pool di nodi | Consenti il tunneling SSH ai pool di nodi (per i cluster v1.20 e versioni precedenti). |
| In entrata | TCP | 8132 | SG pool di nodi | Consenti la connessione Konnectivity dai pool di nodi (per i cluster v1.21 e versioni successive). |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |
| In uscita | TCP | 2380 | Questo SG | Consenti la replica etcd del control plane. |
| In uscita | TCP | 2381 | Questo SG | Consenti la replica degli eventi etcd del control plane. |
| In uscita | TCP | 10250 | SG pool di nodi | Consenti le connessioni dal control plane a Kubelet. |
Gruppo di sicurezza del pool di nodi
Il gruppo di sicurezza del pool di nodi consente le connessioni dal control plane e da altri nodi. Specifica gli ID dei gruppi di sicurezza nelle definizioni di AWSNodePool.
| Tipo | Protocollo | Porta | Indirizzo | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | Tutti | Questo SG | Consenti la comunicazione pod-to-pod. |
| In entrata | TCP | 22 | SG control plane | Consenti il tunneling SSH dal control plane (per i cluster v1.20 e versioni precedenti). |
| In uscita | TCP | 8132 | SG control plane | Consenti le connessioni Konnectivity al control plane (per i cluster v1.21 e versioni successive). |
| In entrata | TCP | 443 | SG control plane | Consenti le connessioni dal control plane a Kubelet. |
| In entrata | TCP | 10250 | SG control plane | Consenti le connessioni dal control plane a Kubelet. |
| In uscita | TCP | Tutti | Questo SG | Consenti la comunicazione pod-to-pod. |
| In uscita | TCP | 80 | 0.0.0.0/0 | Consenti HTTP in uscita. |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita. |