Topik ini menjelaskan cara GKE di AWS mengelola aturan grup keamanan AWS untuk cluster, dan cara mengubah aturan firewall untuk node pool dan replika bidang kontrol.
Grup keamanan dan DNS yang dihosting
Jika Anda menggunakan server DNS yang dihosting, bukan DNS yang disediakan AWS, grup keamanan bidang kontrol dan kumpulan node harus mengizinkan traffic keluar di port 53 TCP dan UDP.
Grup keamanan bidang kontrol
Grup keamanan bidang kontrol menentukan aturan firewall untuk traffic TCP masuk dan keluar untuk setiap replika bidang kontrol.
Bidang kontrol terdiri dari tiga instance EC2 di belakang AWS Network Load Balancer (NLB). Instance ini menerima koneksi dari instance etcd di node lain, node pool, dan NLB. Instance bidang kontrol juga membuat koneksi HTTPS keluar ke layanan Google dan AWS.
GKE di AWS membuat dan melampirkan grup keamanan bidang kontrol terkelola ke semua instance bidang kontrol. Anda tidak boleh mengubah aturan dalam grup ini. Jika perlu menambahkan aturan grup keamanan lainnya, Anda dapat menentukan ID grup keamanan tambahan untuk dilampirkan ke bidang kontrol saat Anda Membuat cluster.
Aturan grup keamanan bidang kontrol default
Berikut adalah aturan default yang dilampirkan GKE di AWS ke bidang kontrol. Aturan ini tidak akan sama persis dengan grup keamanan Anda; setiap baris dalam tabel dapat diperluas menjadi beberapa aturan grup keamanan AWS.
| Jenis | Protokol | Port | Rentang alamat atau SG | Deskripsi |
|---|---|---|---|---|
| Inbound | TCP (versi cluster < 1.26) | 443 | Rentang CIDR Utama VPC | Izinkan HTTPS dari node kumpulan node |
| Inbound | TCP (versi cluster >= 1.26) | 443 | Rentang CIDR subnet node pool | Izinkan HTTPS dari node kumpulan node (satu aturan per subnet yang digunakan oleh kumpulan node) |
| Inbound | TCP | 2380 | SG bidang kontrol | Mengizinkan replikasi etcd bidang kontrol |
| Inbound | TCP | 2381 | SG bidang kontrol | Mengizinkan replikasi peristiwa etcd bidang kontrol |
| Inbound | TCP (versi cluster < 1.26) | 8132 | Rentang CIDR Utama VPC | Mengizinkan koneksi Konnectivity dari kumpulan node |
| Inbound | TCP (versi cluster >= 1.26) | 8132 | Rentang CIDR subnet node pool | Mengizinkan koneksi Konnectivity dari node pool (satu aturan per subnet yang digunakan oleh node pool) |
| Inbound | TCP | 11872 | Rentang CIDR bidang kontrol | Pemeriksaan kesehatan HTTP untuk load balancer |
| Keluar | TCP | 443 | 0.0.0.0/0 | Mengizinkan HTTPS keluar |
| Keluar | TCP | 2380 | SG bidang kontrol | Mengizinkan replikasi etcd bidang kontrol |
| Keluar | TCP | 2381 | SG bidang kontrol | Mengizinkan replikasi peristiwa etcd bidang kontrol |
Grup keamanan kumpulan node
Grup keamanan kumpulan node menentukan aturan firewall untuk traffic TCP masuk dan keluar untuk VM di kumpulan node.
GKE di AWS membuat dan melampirkan grup keamanan node pool terkelola ke semua instance node pool. Anda tidak boleh mengubah aturan dalam grup ini. Jika perlu menambahkan lebih banyak aturan grup keamanan, Anda dapat menentukan ID grup keamanan tambahan untuk dilampirkan ke instance saat Anda Membuat kumpulan node.
Secara default, VM node pool tidak memiliki port terbuka. Untuk mengizinkan traffic masuk, Anda menambahkan grup keamanan node pool saat membuat node pool, dan mengelola aturan masuk/keluar yang diinginkan untuk node pool melalui grup keamanan tersebut.
Aturan grup keamanan kumpulan node default
Berikut adalah aturan default yang dilampirkan GKE di AWS ke node pool. Aturan ini tidak akan cocok dengan grup keamanan Anda secara persis; setiap baris dalam tabel dapat diperluas menjadi beberapa aturan grup keamanan AWS.
| Jenis | Protokol | Port | Rentang alamat atau SG | Deskripsi |
|---|---|---|---|---|
| Inbound | TCP | Semua | SG node pool | Mengizinkan komunikasi pod ke pod |
| Keluar | TCP | Semua | SG node pool | Mengizinkan komunikasi pod ke pod |
| Keluar | TCP | 443 | 0.0.0.0/0 | Mengizinkan HTTPS keluar |
| Keluar | TCP | 8132 | SG bidang kontrol | Mengizinkan koneksi Konnectivity ke bidang kontrol |
| Keluar | TCP | 8132 | Rentang CIDR bidang kontrol | Mengizinkan koneksi Konnectivity ke bidang kontrol |
Node pool di blok CIDR Sekunder VPC
GKE di AWS versi 1.26 dan yang lebih baru secara otomatis membuat dan mengelola aturan grup keamanan yang diperlukan untuk mendukung kumpulan node yang menggunakan subnet dalam blok CIDR VPC sekunder. Jika menggunakan salah satu versi ini, Anda tidak perlu membuat grup keamanan kustom atau memperbaruinya secara manual.
Namun, saat membuat grup keamanan bidang kontrol terkelola, GKE di AWS versi sebelumnya tidak membuat aturan yang mendukung node pool dengan subnet dalam blok CIDR VPC sekunder.
Untuk mengatasi batasan ini, buat grup keamanan kustom untuk bidang kontrol Anda. Anda meneruskan ID grup keamanan saat membuat cluster menggunakan
flag --security-group-ids. Atau, Anda dapat
Memperbarui grup keamanan cluster Anda.
Buat grup keamanan dengan aturan berikut:
| Jenis | Protokol | Port | Rentang alamat atau SG | Deskripsi |
|---|---|---|---|---|
| Inbound | TCP | 443 | Rentang node pool (di blok CIDR sekunder VPC) | Izinkan HTTPS dari node kumpulan node |
| Inbound | TCP | 8132 | Rentang node pool (di blok CIDR sekunder VPC) | Mengizinkan koneksi Konnectivity dari kumpulan node |