Este tópico explica como o GKE na AWS gerencia as regras de grupos de segurança da AWS para o cluster e como modificar as regras de firewall para pools de nós e réplicas do plano de controle.
Grupos de segurança e DNS hospedado
Se você usar um servidor DNS hospedado em vez do DNS fornecido pela AWS, seu plano de controle e os grupos de segurança do pool de nós deverão permitir tráfego de saída na porta TCP e UDP 53.
Grupos de segurança do plano de controle
Os grupos de segurança do plano de controle definem as regras de firewall para tráfego TCP de entrada e saída para cada réplica do plano de controle.
O plano de controle consiste em três instâncias do EC2 atrás de um Balanceador de Carga de Rede ( NLB ) da AWS. Essas instâncias aceitam conexões de instâncias do etcd em outros nós, nós do pool de nós e do NLB. As instâncias do plano de controle também fazem conexões HTTPS de saída com os serviços do Google e da AWS.
O GKE na AWS cria e anexa um grupo de segurança do plano de controle gerenciado a todas as instâncias do plano de controle. Você não deve modificar as regras neste grupo. Se precisar adicionar mais regras de grupo de segurança, você pode especificar IDs de grupo de segurança adicionais para anexar ao plano de controle ao criar um cluster .
Regras de grupo de segurança do plano de controle padrão
Estas são as regras padrão que o GKE na AWS anexa ao plano de controle. Essas regras não corresponderão exatamente aos seus grupos de segurança; cada linha da tabela pode se expandir para várias regras de grupos de segurança da AWS.
| Tipo | Protocolo | Porta | Intervalos de endereços ou SG | Descrição |
|---|---|---|---|---|
| Entrada | TCP (versão do cluster < 1.26) | 443 | Intervalo CIDR primário de VPC | Permitir HTTPS de nós do pool de nós |
| Entrada | TCP (versão do cluster >= 1.26) | 443 | Intervalo CIDR de sub-rede do pool de nós | Permitir HTTPS de nós do pool de nós (uma regra por sub-rede usada pelos pools de nós) |
| Entrada | TCP | 2380 | Plano de controle SG | Permitir replicação do plano de controle etcd |
| Entrada | TCP | 2381 | Plano de controle SG | Permitir replicação de eventos etcd do plano de controle |
| Entrada | TCP (versão do cluster < 1.26) | 8132 | Intervalo CIDR primário de VPC | Permitir conexões de conectividade de pools de nós |
| Entrada | TCP (versão do cluster >= 1.26) | 8132 | Intervalo CIDR de sub-rede do pool de nós | Permitir conexões de conectividade de nós do pool de nós (uma regra por sub-rede usada pelos pools de nós) |
| Entrada | TCP | 11872 | Intervalos CIDR do plano de controle | Verificação de integridade HTTP para balanceador de carga |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída |
| Saída | TCP | 2380 | Plano de controle SG | Permitir replicação do plano de controle etcd |
| Saída | TCP | 2381 | Plano de controle SG | Permitir replicação de eventos etcd do plano de controle |
Grupos de segurança do pool de nós
Os grupos de segurança do pool de nós definem as regras de firewall para tráfego TCP de entrada e saída para as VMs nos pools de nós.
O GKE na AWS cria e anexa um grupo de segurança de pool de nós gerenciados a todas as instâncias do pool de nós. Você não deve modificar as regras neste grupo. Se precisar adicionar mais regras de grupo de segurança, você pode especificar IDs de grupo de segurança adicionais para anexar às instâncias ao criar um pool de nós .
Por padrão, as VMs do pool de nós não têm portas abertas. Para permitir o tráfego de entrada, adicione um grupo de segurança do pool de nós ao criá-lo e gerencie quaisquer regras de entrada/saída desejadas para o pool de nós por meio desse grupo de segurança.
Regras de grupo de segurança do pool de nós padrão
Estas são as regras padrão que o GKE na AWS anexa aos pools de nós. Essas regras não corresponderão exatamente aos seus grupos de segurança; cada linha da tabela pode se expandir para várias regras de grupos de segurança da AWS.
| Tipo | Protocolo | Porta | Intervalo de endereços ou SG | Descrição |
|---|---|---|---|---|
| Entrada | TCP | Todos | Pool de nós SG | Permitir comunicação entre pods |
| Saída | TCP | Todos | Pool de nós SG | Permitir comunicação entre pods |
| Saída | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS de saída |
| Saída | TCP | 8132 | Plano de controle SG | Permitir conexões de conectividade com o plano de controle |
| Saída | TCP | 8132 | Intervalos CIDR do plano de controle | Permitir conexões de conectividade com o plano de controle |
Pools de nós em blocos CIDR secundários da VPC
O GKE na AWS versão 1.26 e posteriores cria e gerencia automaticamente as regras de grupo de segurança necessárias para oferecer suporte a pools de nós usando sub-redes em blocos CIDR de VPC secundários. Se você estiver usando uma dessas versões, não precisará criar grupos de segurança personalizados nem atualizá-los manualmente.
No entanto, ao criar grupos de segurança do plano de controle gerenciado, versões anteriores do GKE na AWS não criam regras que oferecem suporte a pools de nós com sub-redes em um bloco CIDR de VPC secundário .
Para contornar essa limitação, crie um grupo de segurança personalizado para o seu plano de controle. Passe o ID do grupo de segurança ao criar um cluster usando o sinalizador --security-group-ids . Como alternativa, você pode atualizar os grupos de segurança do seu cluster .
Crie o grupo de segurança com as seguintes regras:
| Tipo | Protocolo | Porta | Intervalos de endereços ou SG | Descrição |
|---|---|---|---|---|
| Entrada | TCP | 443 | Intervalos de pool de nós (em blocos CIDR secundários de VPC) | Permitir HTTPS de nós do pool de nós |
| Entrada | TCP | 8132 | Intervalos de pool de nós (em blocos CIDR secundários de VPC) | Permitir conexões de conectividade de pools de nós |