Gruppi di sicurezza di rete

Questa pagina descrive e elenca i gruppi di sicurezza di rete (NSG) di Azure richiesti da GKE su Azure.

Questa pagina è rivolta agli esperti di Networking che vogliono installare, configurare e supportare le apparecchiature di rete. Per scoprire di più sui ruoli comuni e sugli esempi di attività a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività comuni degli utenti di GKE Enterprise.

NSG gestiti

GKE on Azure gestisce i gruppi di sicurezza di rete collegati alla scheda di interfaccia di rete virtuale (NIC) di ogni istanza di macchina virtuale (VM). Per controllare ulteriormente il traffico di rete, puoi aggiungere altri NSG alle tue subnet.

GKE on Azure gestisce automaticamente le regole NSG richieste. Aggiunge le regole NSG mancanti e rimuove quelle non più necessarie. GKE su Azure modifica inoltre le regole in base alla configurazione del servizio Kubernetes. Ad esempio, quando aggiungi un servizio Kubernetes di tipo LoadBalancer, GKE on Azure aggiunge le regole NSG corrispondenti.

Priorità delle regole

Le priorità delle regole NSG di Azure hanno un intervallo compreso tra 100 e 4096. Più basso è il numero della priorità, maggiore è la priorità.

Per impostazione predefinita, GKE su Azure gestisce solo le regole NSG con una priorità di 500 o superiore. Pertanto, se devi implementare una regola specifica o creare altre regole, puoi utilizzare NSG con una priorità compresa tra 100 e 499.

Azure elabora le regole in ordine, a partire dal numero di priorità più basso e procedendo verso l'alto. Quando crei una nuova regola, scegli sempre le priorità delle regole nell'intervallo da 100 a 499 per evitare conflitti con le regole Anthos NSG esistenti.

Gruppi di sicurezza delle applicazioni

GKE on Azure crea due gruppi di sicurezza delle applicazioni (ASG) che si applicano alle NIC virtuali dei piani di controllo e dei nodi worker. GKE on Azure aggiorna automaticamente gli ASG, ad esempio quando aggiungi un nuovo pool di nodi a un cluster. Puoi utilizzare questi gruppi di istanze autoscalabili quando crei regole NSG.

Gli ID di Azure Resource Manager (ARM) della NSG e dell'ASG del piano di controllo possono essere ottenuti dall'output di gcloud container azure clusters describe.

Ad esempio, per consentire le connessioni SSH alle VM del control plane, esegui il comando az network nsg rule create per creare un NSG che fa riferimento all'ASG del control plane:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Sostituisci quanto segue:

• CLUSTER_NAME: il nome del cluster
• GOOGLE_CLOUD_LOCATION: la Google Cloud posizione che gestisce il tuo cluster
• CLUSTER_RESOURCE_GROUP: il nome del gruppo di risorse Azure che contiene il cluster

Per ulteriori informazioni sulla creazione di una nuova regola, segui la procedura descritta in Creazione di regole NSG di Azure.

Regole NSG predefinite

Quando configuri GKE su Azure, vengono create le seguenti regole NSG nella rete virtuale Azure.