Grup keamanan jaringan

Halaman ini menjelaskan dan mencantumkan grup keamanan jaringan (NSG) Azure yang diperlukan oleh GKE di Azure.

Halaman ini ditujukan untuk spesialis Jaringan yang ingin menginstal, mengonfigurasi, dan mendukung peralatan jaringan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam Google Cloud konten, lihat Peran dan tugas pengguna umum GKE Enterprise.

NSG Terkelola

GKE di Azure mengelola NSG yang terpasang ke kartu antarmuka jaringan (NIC) virtual setiap instance virtual machine (VM). Untuk mengontrol lebih lanjut traffic jaringan, Anda dapat menambahkan NSG tambahan ke subnet.

GKE di Azure mengelola aturan NSG yang diperlukan secara otomatis. Fitur ini menambahkan aturan NSG yang tidak ada dan menghapus aturan yang tidak lagi diperlukan. GKE di Azure juga mengubah aturan berdasarkan konfigurasi Layanan Kubernetes Anda. Misalnya, saat Anda menambahkan Layanan Kubernetes jenis LoadBalancer, GKE di Azure menambahkan aturan NSG yang sesuai.

Prioritas aturan

Prioritas aturan NSG Azure memiliki rentang antara 100 dan 4096. Semakin rendah angka prioritas, semakin tinggi prioritasnya.

Secara desain, GKE di Azure hanya mengelola aturan NSG dengan prioritas 500 atau yang lebih tinggi. Oleh karena itu, jika Anda perlu menerapkan aturan tertentu atau membuat aturan tambahan, Anda dapat menggunakan NSG dengan prioritas antara 100 dan 499.

Azure memproses aturan secara berurutan, dimulai dengan angka prioritas terendah dan berlanjut ke atas. Saat membuat aturan baru, selalu pilih prioritas aturan dalam rentang 100 hingga 499 untuk menghindari konflik dengan aturan Anthos NSG yang ada.

Grup keamanan aplikasi

GKE di Azure membuat dua grup keamanan aplikasi (ASG) yang berlaku untuk NIC virtual bidang kontrol dan worker node. GKE di Azure memperbarui ASG secara otomatis—misalnya, saat Anda menambahkan node pool baru ke cluster. Anda dapat menggunakan ASG ini saat membuat aturan NSG.

ID Azure Resource Manager (ARM) NSG dan ASG bidang kontrol dapat diperoleh dari output gcloud container azure clusters describe.

Misalnya, untuk mengizinkan koneksi SSH ke VM bidang kontrol, jalankan perintah az network nsg rule create untuk membuat NSG yang mereferensikan ASG bidang kontrol:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Ganti kode berikut:

• CLUSTER_NAME: nama cluster Anda
• GOOGLE_CLOUD_LOCATION: Google Cloud lokasi yang mengelola cluster Anda
• CLUSTER_RESOURCE_GROUP: nama grup resource Azure yang menyimpan cluster Anda

Untuk mengetahui informasi selengkapnya tentang cara membuat aturan baru, ikuti prosedur yang dijelaskan dalam Pembuatan aturan NSG Azure.

Aturan NSG default

Saat Anda menyiapkan GKE di Azure, GKE akan membuat aturan NSG berikut di jaringan virtual Azure Anda.