Grupos de segurança de rede

Esta página descreve e lista os grupos de segurança de rede (NSGs) do Azure exigidos pelo GKE no Azure.

Esta página é para especialistas em redes que desejam instalar, configurar e oferecer suporte a equipamentos de rede. Para saber mais sobre funções comuns e exemplos de tarefas que mencionamos em Google Cloud conteúdo, consulte Funções e tarefas comuns do usuário do GKE Enterprise .

NSGs gerenciados

O GKE no Azure gerencia os NSGs anexados à placa de interface de rede virtual (NIC) de cada instância de máquina virtual (VM). Para controlar ainda mais o tráfego de rede, você pode adicionar NSGs adicionais às suas sub-redes.

O GKE no Azure gerencia automaticamente as regras NSG necessárias. Ele adiciona regras NSG ausentes e remove regras que não são mais necessárias. O GKE no Azure também modifica regras com base na configuração do seu Serviço do Kubernetes. Por exemplo, quando você adiciona um Serviço do Kubernetes do tipo LoadBalancer , o GKE no Azure adiciona as regras NSG correspondentes.

Prioridades das regras

As prioridades das regras do Azure NSG variam entre 100 e 4096. Quanto menor o número de prioridade, maior a prioridade.

Por padrão, o GKE no Azure gerencia apenas regras NSG com prioridade 500 ou superior. Portanto, se você precisar implementar uma regra específica ou criar regras adicionais, poderá usar NSGs com prioridade entre 100 e 499.

O Azure processa as regras em ordem, começando pela prioridade mais baixa e avançando para cima. Ao criar uma nova regra, sempre escolha prioridades de regra no intervalo de 100 a 499 para evitar conflitos com as regras existentes do Anthos NSG.

Grupos de segurança de aplicativos

O GKE no Azure cria dois grupos de segurança de aplicativos (ASGs) que se aplicam às NICs virtuais de planos de controle e nós de trabalho. O GKE no Azure atualiza os ASGs automaticamente, por exemplo, quando você adiciona um novo pool de nós a um cluster. Você pode usar esses ASGs ao criar regras de NSG.

Os IDs do Azure Resource Manager (ARM) do NSG e do ASG do plano de controle podem ser obtidos da saída de gcloud container azure clusters describe .

Por exemplo, para permitir conexões SSH às VMs do plano de controle, execute o comando az network nsg rule create para criar um NSG que faça referência ao ASG do plano de controle:

NSG_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.networkSecurityGroupId)'))

ASG_CP_NAME=$(basename $(gcloud container azure clusters describe \
  CLUSTER_NAME --location=GOOGLE_CLOUD_LOCATION \
  --format 'value(managedResources.controlPlaneApplicationSecurityGroupId)'))

az network nsg rule create \
  --name AllowSshToControlPlane \
  --nsg-name "${NSG_NAME}" \
  --priority 100 \
  --resource-group "CLUSTER_RESOURCE_GROUP" \
  --access Allow \
  --protocol Tcp \
  --destination-port-ranges 22 \
  --destination-asgs "${ASG_CP_NAME}"

Substitua o seguinte:

• CLUSTER_NAME : o nome do seu cluster
• GOOGLE_CLOUD_LOCATION : o Google Cloud local que gerencia seu cluster
• CLUSTER_RESOURCE_GROUP : o nome do grupo de recursos do Azure que contém seu cluster

Para obter mais informações sobre como criar uma nova regra, siga o procedimento descrito em Criação de regra do Azure NSG .

Regras NSG padrão

Quando você configura o GKE no Azure, ele cria as seguintes regras de NSG na sua rede virtual do Azure.