Grup keamanan jaringan

Halaman ini menjelaskan dan mencantumkan grup keamanan jaringan (NSG) Azure yang diperlukan oleh GKE di Azure.

Halaman ini ditujukan untuk spesialis Jaringan yang ingin menginstal, mengonfigurasi, dan mendukung peralatan jaringan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam Google Cloud konten, lihat Peran dan tugas pengguna GKE umum.

NSG terkelola

GKE di Azure mengelola NSG yang terpasang ke kartu antarmuka jaringan virtual (NIC) setiap instance mesin virtual (VM). Untuk mengontrol traffic jaringan lebih lanjut, Anda dapat menambahkan NSG tambahan ke subnet.

GKE di Azure mengelola aturan NSG yang diperlukan secara otomatis. Aturan ini menambahkan aturan NSG yang tidak ada dan menghapus aturan yang tidak lagi diperlukan. GKE di Azure juga mengubah aturan berdasarkan konfigurasi Layanan Kubernetes Anda. Misalnya, saat Anda menambahkan Layanan Kubernetes berjenis LoadBalancer, GKE di Azure akan menambahkan aturan NSG yang sesuai.

Prioritas aturan

Prioritas aturan NSG Azure memiliki rentang antara 100 dan 4096. Semakin rendah nomor prioritas, semakin tinggi prioritasnya.

Menurut desainnya, GKE di Azure hanya mengelola aturan NSG dengan prioritas 500 atau lebih tinggi. Oleh karena itu, jika Anda perlu menerapkan aturan tertentu atau membuat aturan tambahan, Anda dapat menggunakan NSG dengan prioritas antara 100 dan 499.

Azure memproses aturan secara berurutan, dimulai dengan nomor prioritas terendah dan berlanjut ke atas. Saat membuat aturan baru, selalu pilih prioritas aturan dalam rentang 100 hingga 499 untuk menghindari konflik dengan aturan NSG Anthos yang ada.

Grup keamanan aplikasi

GKE di Azure membuat dua grup keamanan aplikasi (ASG) yang berlaku untuk NIC virtual bidang kontrol dan node pekerja. GKE di Azure memperbarui ASG secara otomatis—misalnya, saat Anda menambahkan node pool baru ke cluster. Anda dapat menggunakan ASG ini saat membuat aturan NSG.

ID Azure Resource Manager (ARM) dari NSG dan ASG bidang kontrol dapat diperoleh dari output gcloud container azure clusters describe.

Misalnya, untuk mengizinkan koneksi SSH ke VM bidang kontrol, jalankan perintah az network nsg rule create untuk membuat NSG yang mereferensikan ASG bidang kontrol:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Ganti kode berikut:

• CLUSTER_NAME: nama cluster Anda
• GOOGLE_CLOUD_LOCATION: lokasi yang mengelola cluster Anda Google Cloud
• CLUSTER_RESOURCE_GROUP: nama grup resource Azure yang menyimpan cluster Anda

Untuk mengetahui informasi selengkapnya tentang cara membuat aturan baru, ikuti prosedur yang dijelaskan dalam Pembuatan aturan NSG Azure.

Aturan NSG default

Saat Anda menyiapkan GKE di Azure, aturan ini akan membuat aturan NSG berikut di jaringan virtual Azure Anda.