Questo argomento spiega come GKE su AWS gestisce le regole dei gruppi di sicurezza AWS per il cluster e come modificare le regole firewall per i pool di nodi e le repliche del control plane.
Gruppi di sicurezza e DNS ospitato
Se utilizzi un server DNS ospitato anziché il DNS fornito da AWS, i gruppi di sicurezza del control plane e del pool di nodi devono consentire il traffico in uscita sulla porta TCP e UDP 53.
Gruppi di sicurezza del control plane
I gruppi di sicurezza del control plane definiscono le regole firewall per il traffico TCP in entrata e in uscita per ogni replica del control plane.
Il control plane è costituito da tre istanze EC2 dietro un bilanciatore del carico di rete AWS (NLB). Queste istanze accettano connessioni da istanze etcd su altri nodi, nodi del pool di nodi e NLB. Le istanze del control plane effettuano anche connessioni HTTPS in uscita ai servizi Google e AWS.
GKE su AWS crea e collega un gruppo di sicurezza del piano di controllo gestito a tutte le istanze del piano di controllo. Non modificare le regole in questo gruppo. Se devi aggiungere altre regole del gruppo di sicurezza, puoi specificare ID gruppo di sicurezza aggiuntivi da collegare al control plane quando crei un cluster.
Regole predefinite del gruppo di sicurezza del control plane
Queste sono le regole predefinite che GKE su AWS associa al control plane. Queste regole non corrisponderanno esattamente ai tuoi gruppi di sicurezza; ogni riga della tabella potrebbe espandersi in più regole del gruppo di sicurezza AWS.
| Tipo | Protocollo | Port (Porta) | Intervalli di indirizzi o SG | Descrizione |
|---|---|---|---|---|
| In entrata | TCP (versione cluster < 1.26) | 443 | Intervallo CIDR primario del VPC | Consenti HTTPS dai nodi del pool di nodi |
| In entrata | TCP (versione cluster >= 1.26) | 443 | Intervallo CIDR subnet del pool di nodi | Consenti HTTPS dai nodi del pool di nodi (una regola per subnet utilizzata dai node pool) |
| In entrata | TCP | 2380 | SG del control plane | Consenti la replica di etcd del control plane |
| In entrata | TCP | 2381 | SG del control plane | Consenti la replica degli eventi etcd del control plane |
| In entrata | TCP (versione cluster < 1.26) | 8132 | Intervallo CIDR primario del VPC | Consenti le connessioni Konnectivity dai node pool |
| In entrata | TCP (versione cluster >= 1.26) | 8132 | Intervallo CIDR subnet del pool di nodi | Consenti le connessioni Konnectivity dai nodi del pool di nodi (una regola per subnet utilizzata dai pool di nodi) |
| In entrata | TCP | 11872 | Intervalli CIDR del control plane | Controllo di integrità HTTP per il bilanciatore del carico |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita |
| In uscita | TCP | 2380 | SG del control plane | Consenti la replica di etcd del control plane |
| In uscita | TCP | 2381 | SG del control plane | Consenti la replica degli eventi etcd del control plane |
Gruppi di sicurezza del node pool
I gruppi di sicurezza del pool di nodi definiscono le regole firewall per il traffico TCP in entrata e in uscita per le VM nei pool di nodi.
GKE su AWS crea e collega un gruppo di sicurezza del pool di nodi gestito a tutte le istanze del pool di nodi. Non modificare le regole in questo gruppo. Se devi aggiungere altre regole del gruppo di sicurezza, puoi specificare ID gruppo di sicurezza aggiuntivi da collegare alle istanze quando crei un pool di nodi.
Per impostazione predefinita, le VM del pool di nodi non hanno porte aperte. Per consentire il traffico in entrata, aggiungi un gruppo di sicurezza delpool di nodil quando crei ilpool di nodil e gestisci le regole in entrata/in uscita desiderate per ipool di nodiol tramite questo gruppo di sicurezza.
Regole del gruppo di sicurezza del pool di nodi predefinito
Queste sono le regole predefinite che GKE su AWS associa ai pool di nodi. Queste regole non corrisponderanno esattamente ai tuoi gruppi di sicurezza; ogni riga della tabella potrebbe espandersi in più regole del gruppo di sicurezza AWS.
| Tipo | Protocollo | Port (Porta) | Intervallo di indirizzi o SG | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | Tutti | Node pool SG | Consenti la comunicazione tra pod |
| In uscita | TCP | Tutti | Node pool SG | Consenti la comunicazione tra pod |
| In uscita | TCP | 443 | 0.0.0.0/0 | Consenti HTTPS in uscita |
| In uscita | TCP | 8132 | SG del control plane | Consenti le connessioni Konnectivity al control plane |
| In uscita | TCP | 8132 | Intervalli CIDR del control plane | Consenti le connessioni Konnectivity al control plane |
Node pool nei blocchi CIDR secondari VPC
GKE su AWS versione 1.26 e successive crea e gestisce automaticamente le regole del gruppo di sicurezza necessarie per supportare i node pool che utilizzano subnet nei blocchi CIDR VPC secondari. Se utilizzi una di queste versioni, non devi creare gruppi di sicurezza personalizzati o aggiornarli manualmente.
Tuttavia, quando crei gruppi di sicurezza del control plane gestito, le versioni precedenti di GKE su AWS non creano regole che supportano i pool di nodi con subnet in un blocco CIDR VPC secondario.
Per ovviare a questa limitazione, crea un gruppo di sicurezza personalizzato per il tuo control
plane. Passa l'ID del gruppo di sicurezza quando crei un cluster utilizzando il flag
--security-group-ids. In alternativa, puoi
aggiornare i gruppi di sicurezza del cluster.
Crea il gruppo di sicurezza con le seguenti regole:
| Tipo | Protocollo | Port (Porta) | Intervalli di indirizzi o SG | Descrizione |
|---|---|---|---|---|
| In entrata | TCP | 443 | Intervalli del node pool (nei blocchi CIDR secondari del VPC) | Consenti HTTPS dai nodi del pool di nodi |
| In entrata | TCP | 8132 | Intervalli del node pool (nei blocchi CIDR secondari del VPC) | Consenti le connessioni Konnectivity dai node pool |