Grupos de seguridad de red
Esta página describe y enumera los grupos de seguridad de red (NSG) de Azure requeridos por GKE en Azure.
Esta página está dirigida a especialistas en redes que desean instalar, configurar y dar soporte a equipos de red. Para obtener más información sobre roles comunes y ejemplos de tareas que mencionamos en Google Cloud contenido, consulte Roles y tareas de usuario comunes de GKE Enterprise .
NSG administrados
GKE en Azure administra los grupos de seguridad de red (NSG) conectados a la tarjeta de interfaz de red virtual (NIC) de cada instancia de máquina virtual (VM). Para controlar mejor el tráfico de red, puede agregar grupos de seguridad de red adicionales a sus subredes.
GKE en Azure administra automáticamente las reglas de grupo de seguridad de red (NSG) necesarias. Agrega las reglas de NSG que faltan y elimina las que ya no son necesarias. GKE en Azure también modifica las reglas según la configuración de Kubernetes Service. Por ejemplo, al agregar un servicio de Kubernetes Service de tipo LoadBalancer
, GKE en Azure agrega las reglas de NSG correspondientes.
Prioridades de las reglas
Las prioridades de las reglas de NSG de Azure tienen un rango entre 100 y 4096. Cuanto menor sea el número de prioridad, mayor será la prioridad.
Por diseño, GKE en Azure solo administra reglas de grupo de seguridad de red (NSG) con una prioridad de 500 o superior. Por lo tanto, si necesita implementar una regla específica o crear reglas adicionales, puede usar NSG con una prioridad entre 100 y 499.
Azure procesa las reglas en orden, comenzando por la prioridad más baja y continuando hacia arriba. Al crear una nueva regla, elija siempre prioridades entre 100 y 499 para evitar conflictos con las reglas existentes de Anthos NSG.
Grupos de seguridad de aplicaciones
GKE en Azure crea dos grupos de seguridad de aplicaciones (ASG) que se aplican a las NIC virtuales de los planos de control y los nodos de trabajo. GKE en Azure actualiza los ASG automáticamente, por ejemplo, al agregar un nuevo grupo de nodos a un clúster. Puede usar estos ASG al crear reglas de NSG.
Los identificadores de Azure Resource Manager (ARM) del NSG y del ASG del plano de control se pueden obtener de la salida de gcloud container azure clusters describe
.
Por ejemplo, para permitir conexiones SSH a las máquinas virtuales del plano de control, ejecute el comando az network nsg rule create
para crear un NSG que haga referencia al ASG del plano de control:
NSG_NAME=$(basename $(gcloud container azure clusters describe \
CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
--format 'value(managedResources.networkSecurityGroupId)'))
ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
--format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))
az network nsg rule create \
--name AllowSshToControlPlane \
--nsg-name "${NSG_NAME}" \
--priority 100 \
--resource-group "CLUSTER_RESOURCE_GROUP" \
--access Allow \
--protocol Tcp \
--destination-port-ranges 22 \
--destination-asgs "${ASG_CP_NAME}"
Reemplace lo siguiente:
-
CLUSTER_NAME
: el nombre de su clúster -
GOOGLE_CLOUD_LOCATION
: la Google Cloud ubicación que administra su clúster -
CLUSTER_RESOURCE_GROUP
: el nombre del grupo de recursos de Azure que contiene su clúster
Para obtener más información sobre cómo crear una nueva regla, siga el procedimiento descrito en Creación de reglas de NSG de Azure .
Reglas predeterminadas del NSG
Cuando configura GKE en Azure, crea las siguientes reglas de NSG en su red virtual de Azure.
Prioridad | Puertos | Protocolo | Fuente | Destino | Acción | Objetivo |
---|---|---|---|---|---|---|
1000 | 2380, 2381 | TCP | NIC del plano de control | NIC del plano de control | Permitir | Comunicación del plano de control, etc. |
1001 | 443, 8132 | TCP | Cualquier | NIC del plano de control | Permitir | Permitir el acceso a la API de Kubernetes |
1002 | 10250 | TCP | NIC del plano de control | NIC de grupo de nodos | Permitir | Comunicaciones del plano de control al nodo |
1003 | 10250, 10255 | TCP | NIC de grupo de nodos | NIC de grupo de nodos | Permitir | Comunicación de nodo a nodo |
1004 | 6081 | UDP | NIC de grupo de nodos | NIC de grupo de nodos | Permitir | Comunicación CNI de nodo a nodo |
1005 | Cualquier | Cualquier | Equilibrador de carga de Azure | Cualquier | Permitir | Permitir el tráfico entrante al balanceador de carga |
4096 | Cualquier | Cualquier | Cualquier | Cualquier | Denegar | Denegar todas las conexiones entrantes que no estén cubiertas por otra regla |