Este tema explica los grupos de seguridad de AWS (SG) que necesita para GKE en AWS.
Si instala un servicio de administración o utiliza una VPC de AWS existente , anthos-gke crea grupos de seguridad automáticamente. Puede configurar los CRD de AWSCluster y AWSNodePool con una lista de ID de grupos de seguridad adicionales.
El siguiente diagrama describe cómo GKE en AWS usa grupos de seguridad para conectarse a Google Cloud y servicios de AWS.
Grupo de seguridad del servicio de gestión
El grupo de seguridad del servicio de administración permite el acceso a la API del servicio de administración mediante HTTPS. Si tiene configurado un host bastión , se permite el acceso entrante desde el grupo de seguridad bastión.
Si crea un entorno de GKE en AWS en una VPC de AWS existente, debe tener un grupo de seguridad que permita las siguientes conexiones.
| Tipo | Protocolo | Puerto | DIRECCIÓN | Descripción |
|---|---|---|---|---|
| Entrante | TCP | 443 | CIDR de VPC | Permitir HTTPS desde AWS VPC. |
| Entrante | TCP | 22 | Anfitrión del bastión SG | Permitir la tunelización SSH desde el host bastión (incluido solo en VPC dedicada). |
| Saliente | TCP | 80 | 0.0.0.0/0 | Permitir HTTP saliente. |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente. |
Acceso al dominio saliente
El servicio de administración requiere acceso saliente a los siguientes dominios.
-
gkeconnect.googleapis.com -
gkehub.googleapis.com -
oauth2.googleapis.com -
storage.googleapis.com -
www.googleapis.com -
gcr.io -
k8s.gcr.io -
EC2-REGION .ec2.archive.ubuntu.com
Reemplace EC2-REGION con la región de AWS EC2 donde se ejecuta su instalación de GKE en AWS. Por ejemplo, us-west-1.ec2.archive.ubuntu.com/ .
Si utiliza Cloud Service Mesh con Prometheus y Kiali , permita el acceso saliente desde los siguientes dominios:
-
docker.io -
quay.io
Grupo de seguridad del host Bastion (opcional)
Utiliza las conexiones del grupo de seguridad del host bastión permitidas por su grupo para conectarse a tu servicio de administración de GKE en AWS y a los clústeres de usuarios. Este grupo es opcional y solo se incluye si usas anthos-gke para crear una instalación de GKE en AWS en una VPC dedicada .
| Tipo | Protocolo | Puerto | DIRECCIÓN | Descripción |
|---|---|---|---|---|
| Entrante | TCP | 22 | Bloque CIDR de bastionAllowedSSHCIDRBlocks en la configuración de AWSManagementService . | Permitir SSH al host bastión. |
| Saliente | TCP | 22 | 0.0.0.0/0 | Permitir SSH saliente. |
| Saliente | TCP | 80 | 0.0.0.0/0 | Permitir HTTP saliente. |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente. |
Grupo de seguridad del plano de control
El grupo de seguridad del plano de control permite conexiones entre los nodos del plano de control y el servicio de administración, y entre los nodos del plano de control y los grupos de nodos.
El plano de control consta de tres instancias de EC2 detrás de un balanceador de carga de red ( NLB ) de AWS. Estas instancias aceptan conexiones de instancias de etcd en otros nodos, nodos del grupo de nodos y el NLB. Para actualizar GKE en los componentes de AWS, se permite todo el tráfico HTTP/HTTPS saliente.
Debe especificar los ID del grupo de seguridad en la definición de AWSCluster .
| Tipo | Protocolo | Puerto | DIRECCIÓN | Descripción |
|---|---|---|---|---|
| Entrante | TCP | 2380 | Este SG | Permitir la replicación del plano de control etcd. |
| Entrante | TCP | 2381 | Este SG | Permitir la replicación de eventos etcd del plano de control. |
| Entrante | TCP | 443 | Grupo de nodos SG | Permitir HTTPS desde los nodos del grupo de nodos. |
| Entrante | TCP | 443 | Rango de CIDR de AWS VPC | Permitir HTTPS desde el balanceador de carga y el servicio de administración. |
| Entrante | TCP | 11872 | Rango de CIDR de AWS VPC | Comprobación del estado del protocolo HTTP para el equilibrador de carga. |
| Saliente | TCP | 22 | Grupo de nodos SG | Permitir la tunelización SSH a grupos de nodos (para clústeres v1.20 y anteriores). |
| Entrante | TCP | 8132 | Grupo de nodos SG | Permitir la conexión de Konnectivity desde grupos de nodos (para clústeres v1.21 y superiores). |
| Saliente | TCP | 80 | 0.0.0.0/0 | Permitir HTTP saliente. |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente. |
| Saliente | TCP | 2380 | Este SG | Permitir la replicación del plano de control etcd. |
| Saliente | TCP | 2381 | Este SG | Permitir la replicación de eventos etcd del plano de control. |
| Saliente | TCP | 10250 | Grupo de nodos SG | Permitir conexiones desde el plano de control a Kubelet. |
Grupo de seguridad del grupo de nodos
El grupo de seguridad del grupo de nodos permite conexiones desde el plano de control y otros nodos. Los ID del grupo de seguridad se especifican en las definiciones de AWSNodePool .
| Tipo | Protocolo | Puerto | DIRECCIÓN | Descripción |
|---|---|---|---|---|
| Entrante | TCP | Todo | Este SG | Permitir la comunicación entre pods. |
| Entrante | TCP | 22 | Plano de control SG | Permitir la tunelización SSH desde el plano de control (para clústeres v1.20 y anteriores). |
| Saliente | TCP | 8132 | Plano de control SG | Permitir conexiones de Konnectivity al plano de control (para clústeres v1.21 y superiores). |
| Entrante | TCP | 443 | Plano de control SG | Permitir conexiones desde el plano de control a Kubelet. |
| Entrante | TCP | 10250 | Plano de control SG | Permitir conexiones desde el plano de control a Kubelet. |
| Saliente | TCP | Todo | Este SG | Permitir la comunicación entre pods. |
| Saliente | TCP | 80 | 0.0.0.0/0 | Permitir HTTP saliente. |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente. |