בנושא הזה נסביר איך GKE on AWS מנהל את הכללים של קבוצות האבטחה של AWS עבור האשכול, ואיך לשנות את כללי חומת האש עבור מאגרי צמתים ועבור העתקים של מישור הבקרה.
קבוצות אבטחה ו-DNS באירוח
אם אתם משתמשים בשרת DNS מתארח במקום ב-DNS שסופק על ידי AWS, קבוצות האבטחה של מישור הבקרה ושל מאגר הצמתים צריכות לאפשר תנועה יוצאת ביציאות TCP ו-UDP מספר 53.
קבוצות אבטחה של מישור הבקרה
קבוצות האבטחה של מישור הבקרה מגדירות את כללי חומת האש לתעבורת TCP נכנסת ויוצאת לכל רפליקה של מישור הבקרה.
מישור הבקרה מורכב משלושה מופעי EC2 מאחורי מאזן עומסי רשת של AWS (NLB). המופעים האלה מקבלים חיבורים ממופעי etcd בצמתים אחרים, בצמתים של מאגר הצמתים וב-NLB. מופעים של מישור הבקרה יוצרים גם חיבורי HTTPS יוצאים לשירותי Google ו-AWS.
GKE on AWS יוצרת קבוצת אבטחה מנוהלת של מישור הבקרה ומצרפת אותה לכל המקרים של מישור הבקרה. אין לשנות את הכללים בקבוצה הזו. אם אתם צריכים להוסיף עוד כללים לקבוצת האבטחה, אתם יכולים לציין מזהים נוספים של קבוצות אבטחה לצירוף למישור הבקרה כשאתם יוצרים אשכול.
כללי ברירת מחדל של קבוצות אבטחה במישור הבקרה
אלה כללי ברירת המחדל ש-GKE ב-AWS מצרף למישור הבקרה. הכללים האלה לא יתאימו בדיוק לקבוצות האבטחה שלכם. כל שורה בטבלה עשויה להתרחב לכמה כללים של קבוצות אבטחה ב-AWS.
| סוג | פרוטוקול | יציאה | טווח כתובות או SG | תיאור |
|---|---|---|---|---|
| לקבלת נתונים | TCP (גרסת האשכול < 1.26) | 443 | טווח CIDR ראשי של VPC | אפשר להשתמש ב-HTTPS מצמתים של מאגר צמתים |
| לקבלת נתונים | TCP (גרסת האשכול >= 1.26) | 443 | טווח CIDR של רשת המשנה של מאגר הצמתים | אפשר להשתמש ב-HTTPS מצמתים של מאגר צמתים (כלל אחד לכל רשת משנה שמשמשת מאגרי צמתים) |
| לקבלת נתונים | TCP | 2380 | קבוצת אבטחה של מישור הבקרה | התרת שכפול של etcd במישור הבקרה |
| לקבלת נתונים | TCP | 2381 | קבוצת אבטחה של מישור הבקרה | התרת שכפול של אירועי etcd במישור הבקרה |
| לקבלת נתונים | TCP (גרסת האשכול < 1.26) | 8132 | טווח CIDR ראשי של VPC | אפשר חיבורים של Konnectivity ממאגרי צמתים |
| לקבלת נתונים | TCP (גרסת האשכול >= 1.26) | 8132 | טווח CIDR של רשת המשנה של מאגר הצמתים | מתן הרשאה לחיבורים של Konnectivity מצמתים של מאגר צמתים (כלל אחד לכל רשת משנה שמשמשת מאגרי צמתים) |
| לקבלת נתונים | TCP | 11872 | טווחים של CIDR במישור הבקרה | בדיקת תקינות HTTP למאזן עומסים |
| להעברת נתונים | TCP | 443 | 0.0.0.0/0 | התרת HTTPS יוצא |
| להעברת נתונים | TCP | 2380 | קבוצת אבטחה של מישור הבקרה | התרת שכפול של etcd במישור הבקרה |
| להעברת נתונים | TCP | 2381 | קבוצת אבטחה של מישור הבקרה | התרת שכפול של אירועי etcd במישור הבקרה |
קבוצות אבטחה של מאגר צמתים
קבוצות האבטחה של מאגר הצמתים מגדירות את כללי חומת האש לתעבורת TCP נכנסת ויוצאת של המכונות הווירטואליות במאגרי הצמתים.
GKE ב-AWS יוצר ומצרף קבוצת אבטחה מנוהלת של מאגר צמתים לכל המופעים של מאגר הצמתים. אין לשנות את הכללים בקבוצה הזו. אם אתם צריכים להוסיף עוד כללים לקבוצת האבטחה, אתם יכולים במקום זאת לציין מזהים נוספים של קבוצות אבטחה לצירוף למופעים כשאתם יוצרים מאגר צמתים.
כברירת מחדל, למכונות וירטואליות במאגר צמתים אין יציאות פתוחות. כדי לאפשר תנועה נכנסת, מוסיפים קבוצת אבטחה של מאגר צמתים כשיוצרים את מאגר הצמתים, ומנהלים את כל הכללים הרצויים לתנועה נכנסת או יוצאת עבור מאגר הצמתים דרך קבוצת האבטחה הזו.
כללים של קבוצת אבטחה של מאגר צמתים שמוגדר כברירת מחדל
אלה כללי ברירת המחדל ש-GKE ב-AWS מצרף למאגרי צמתים. הכללים האלה לא יתאימו בדיוק לקבוצות האבטחה שלכם. כל שורה בטבלה עשויה להתרחב לכמה כללים של קבוצת אבטחה ב-AWS.
| סוג | פרוטוקול | יציאה | טווח כתובות או SG | תיאור |
|---|---|---|---|---|
| לקבלת נתונים | TCP | הכול | מאגר צמתים SG | אישור תקשורת בין פודים |
| להעברת נתונים | TCP | הכול | מאגר צמתים SG | אישור תקשורת בין פודים |
| להעברת נתונים | TCP | 443 | 0.0.0.0/0 | התרת HTTPS יוצא |
| להעברת נתונים | TCP | 8132 | קבוצת אבטחה של מישור הבקרה | התרת חיבורים של Konnectivity למישור הבקרה |
| להעברת נתונים | TCP | 8132 | טווחים של CIDR במישור הבקרה | התרת חיבורים של Konnectivity למישור הבקרה |
מאגרי צמתים בבלוקים משניים של CIDR ב-VPC
ב-GKE ב-AWS בגרסה 1.26 ואילך, המערכת יוצרת ומנהלת באופן אוטומטי את כללי קבוצת האבטחה הנדרשים כדי לתמוך במאגרי צמתים באמצעות רשתות משנה בבלוקים משניים של כתובות CIDR של VPC. אם אתם משתמשים באחת מהגרסאות האלה, אתם לא צריכים ליצור קבוצות אבטחה מותאמות אישית או לעדכן אותן באופן ידני.
עם זאת, כשיוצרים קבוצות אבטחה של מישור בקרה מנוהל, גרסאות קודמות של GKE ב-AWS לא יוצרות כללים שתומכים במאגרי צמתים עם רשתות משנה בבלוק CIDR משני של VPC.
כדי לעקוף את המגבלה הזו, צריך ליצור קבוצת אבטחה בהתאמה אישית למישור הבקרה. מעבירים את מזהה קבוצת האבטחה כשיוצרים אשכול באמצעות הדגל --security-group-ids. אפשר גם לעדכן את קבוצות האבטחה של האשכול.
יוצרים את קבוצת האבטחה עם הכללים הבאים:
| סוג | פרוטוקול | יציאה | טווח כתובות או SG | תיאור |
|---|---|---|---|---|
| לקבלת נתונים | TCP | 443 | טווחים של מאגרי צמתים (בבלוקים משניים של CIDR ב-VPC) | אפשר להשתמש ב-HTTPS מצמתים של מאגר צמתים |
| לקבלת נתונים | TCP | 8132 | טווחים של מאגרי צמתים (בבלוקים משניים של CIDR ב-VPC) | אפשר חיבורים של Konnectivity ממאגרי צמתים |