Grupos de seguridad de red

Esta página describe y enumera los grupos de seguridad de red (NSG) de Azure requeridos por GKE en Azure.

Esta página está dirigida a especialistas en redes que desean instalar, configurar y dar soporte a equipos de red. Para obtener más información sobre roles comunes y ejemplos de tareas que mencionamos en Google Cloud contenido, consulte Roles y tareas de usuario comunes de GKE Enterprise .

NSG administrados

GKE en Azure administra los grupos de seguridad de red (NSG) conectados a la tarjeta de interfaz de red virtual (NIC) de cada instancia de máquina virtual (VM). Para controlar mejor el tráfico de red, puede agregar grupos de seguridad de red adicionales a sus subredes.

GKE en Azure administra automáticamente las reglas de grupo de seguridad de red (NSG) necesarias. Agrega las reglas de NSG que faltan y elimina las que ya no son necesarias. GKE en Azure también modifica las reglas según la configuración de Kubernetes Service. Por ejemplo, al agregar un servicio de Kubernetes Service de tipo LoadBalancer , GKE en Azure agrega las reglas de NSG correspondientes.

Prioridades de las reglas

Las prioridades de las reglas de NSG de Azure tienen un rango entre 100 y 4096. Cuanto menor sea el número de prioridad, mayor será la prioridad.

Por diseño, GKE en Azure solo administra reglas de grupo de seguridad de red (NSG) con una prioridad de 500 o superior. Por lo tanto, si necesita implementar una regla específica o crear reglas adicionales, puede usar NSG con una prioridad entre 100 y 499.

Azure procesa las reglas en orden, comenzando por la prioridad más baja y continuando hacia arriba. Al crear una nueva regla, elija siempre prioridades entre 100 y 499 para evitar conflictos con las reglas existentes de Anthos NSG.

Grupos de seguridad de aplicaciones

GKE en Azure crea dos grupos de seguridad de aplicaciones (ASG) que se aplican a las NIC virtuales de los planos de control y los nodos de trabajo. GKE en Azure actualiza los ASG automáticamente, por ejemplo, al agregar un nuevo grupo de nodos a un clúster. Puede usar estos ASG al crear reglas de NSG.

Los identificadores de Azure Resource Manager (ARM) del NSG y del ASG del plano de control se pueden obtener de la salida de gcloud container azure clusters describe .

Por ejemplo, para permitir conexiones SSH a las máquinas virtuales del plano de control, ejecute el comando az network nsg rule create para crear un NSG que haga referencia al ASG del plano de control:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Reemplace lo siguiente:

  • CLUSTER_NAME : el nombre de su clúster
  • GOOGLE_CLOUD_LOCATION : la Google Cloud ubicación que administra su clúster
  • CLUSTER_RESOURCE_GROUP : el nombre del grupo de recursos de Azure que contiene su clúster

Para obtener más información sobre cómo crear una nueva regla, siga el procedimiento descrito en Creación de reglas de NSG de Azure .

Reglas predeterminadas del NSG

Cuando configura GKE en Azure, crea las siguientes reglas de NSG en su red virtual de Azure.

Prioridad Puertos Protocolo Fuente Destino Acción Objetivo
1000 2380, 2381 TCP NIC del plano de control NIC del plano de control Permitir Comunicación del plano de control, etc.
1001 443, 8132 TCP Cualquier NIC del plano de control Permitir Permitir el acceso a la API de Kubernetes
1002 10250 TCP NIC del plano de control NIC de grupo de nodos Permitir Comunicaciones del plano de control al nodo
1003 10250, 10255 TCP NIC de grupo de nodos NIC de grupo de nodos Permitir Comunicación de nodo a nodo
1004 6081 UDP NIC de grupo de nodos NIC de grupo de nodos Permitir Comunicación CNI de nodo a nodo
1005 Cualquier Cualquier Equilibrador de carga de Azure Cualquier Permitir Permitir el tráfico entrante al balanceador de carga
4096 Cualquier Cualquier Cualquier Cualquier Denegar Denegar todas las conexiones entrantes que no estén cubiertas por otra regla