En este tema, se explica cómo GKE en AWS administra las reglas de grupos de seguridad de AWS para el clúster y cómo modificar las reglas de firewall de los grupos de nodos y las réplicas del plano de control.
Grupos de seguridad y DNS alojado
Si usas un servidor DNS alojado en lugar del DNS proporcionado por AWS, tus grupos de seguridad del plano de control y del grupo de nodos deben permitir el tráfico saliente en el puerto TCP y UDP 53.
Grupos de seguridad del plano de control
Los grupos de seguridad del plano de control definen las reglas de firewall para el tráfico de TCP entrante y saliente de cada réplica del plano de control.
El plano de control consta de tres instancias de EC2 detrás de un balanceador de cargas de red de AWS (NLB). Estas instancias aceptan conexiones desde instancias etcd en otros nodos, nodos de grupos de nodos y el NLB. Las instancias del plano de control también realizan conexiones HTTPS salientes a los servicios de Google y AWS.
GKE en AWS crea y conecta un grupo de seguridad del plano de control administrado a todas las instancias del plano de control. No debes modificar las reglas de este grupo. Si necesitas agregar más reglas de grupo de seguridad, puedes especificar ID de grupos de seguridad adicionales para adjuntar al plano de control cuando crees un clúster.
Reglas predeterminadas de grupo de seguridad del plano de control
Estas son las reglas predeterminadas que GKE on AWS adjunta al plano de control. Estas reglas no coincidirán de forma exacta con tus grupos de seguridad; puede que cada fila de la tabla se expanda a varias reglas de grupos de seguridad de AWS.
| Tipo | Protocol | Puerto | Rangos de direcciones o SG | Descripción |
|---|---|---|---|---|
| Entrante | TCP (versión del clúster < 1.26) | 443 | Rango de CIDR principal de la VPC | Permitir HTTPS desde nodos de grupos de nodos |
| Entrante | TCP (versión del clúster >= 1.26) | 443 | Rango CIDR de la subred del grupo de nodos | Permitir HTTPS desde nodos de grupos de nodos (una regla por subred que usan los grupos de nodos) |
| Entrante | TCP | 2380 | SG del plano de control | Permitir la replicación de etcd del plano de control |
| Entrante | TCP | 2381 | SG del plano de control | Permitir la replicación de eventos etcd del plano de control |
| Entrante | TCP (versión del clúster < 1.26) | 8132 | Rango de CIDR principal de la VPC | Permitir conexiones de Konnectivity desde grupos de nodos |
| Entrante | TCP (versión del clúster >= 1.26) | 8132 | Rango CIDR de la subred del grupo de nodos | Permitir conexiones de Konnectivity desde nodos de grupos de nodos (una regla por subred que usan los grupos de nodos) |
| Entrante | TCP | 11872 | Rangos de CIDR del plano de control | Verificación de estado HTTP para el balanceador de cargas |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente |
| Saliente | TCP | 2380 | SG del plano de control | Permitir la replicación de etcd del plano de control |
| Saliente | TCP | 2381 | SG del plano de control | Permitir la replicación de eventos etcd del plano de control |
Grupos de seguridad del grupo de nodos
Los grupos de seguridad del grupo de nodos definen las reglas de firewall para el tráfico de TCP entrante y saliente para las VM en los grupos de nodos.
GKE en AWS crea y conecta un grupo de seguridad de grupo de nodos administrado a todas las instancias del grupo de nodos. No debes modificar las reglas de este grupo. Si necesitas agregar más reglas de grupo de seguridad, puedes especificar ID de grupos de seguridad adicionales para adjuntar a las instancias cuando crees un grupo de nodos.
De forma predeterminada, las VM del grupo de nodos no tienen ningún puerto abierto. Para permitir el tráfico entrante, debes agregar un grupo de seguridad de grupo de nodos cuando creas el grupo de nodos y administrar las reglas de entrada/salida deseadas para el grupo de nodos a través de ese grupo de seguridad.
Reglas predeterminadas del grupo de seguridad de grupo de nodos
Estas son las reglas predeterminadas que GKE en AWS adjunta a los grupos de nodos. Estas reglas no coincidirán de forma exacta con tus grupos de seguridad; puede que cada fila de la tabla se expanda a varias reglas de grupos de seguridad de AWS.
| Tipo | Protocol | Puerto | Rango de direcciones o SG | Descripción |
|---|---|---|---|---|
| Entrante | TCP | Todos | SG de grupo de nodos | Permitir la comunicación entre Pods |
| Saliente | TCP | Todos | SG de grupo de nodos | Permitir la comunicación entre Pods |
| Saliente | TCP | 443 | 0.0.0.0/0 | Permitir HTTPS saliente |
| Saliente | TCP | 8132 | SG del plano de control | Permitir conexiones de Konnectivity al plano de control |
| Saliente | TCP | 8132 | Rangos de CIDR del plano de control | Permitir conexiones de Konnectivity al plano de control |
Grupos de nodos en bloques de CIDR secundarios de VPC
La versión 1.26 de GKE en AWS y las posteriores crean y administran automáticamente las reglas de grupos de seguridad necesarias para admitir grupos de nodos mediante subredes en bloques CIDR de VPC secundarios. Si usas una de estas versiones, no es necesario que crees grupos de seguridad personalizados ni los actualices de forma manual.
Sin embargo, cuando se crean grupos de seguridad del plano de control administrado, las versiones anteriores de GKE en AWS no crean reglas que admitan grupos de nodos con subredes en un bloque CIDR de VPC secundario.
A fin de evitar esta limitación, crea un grupo de seguridad personalizado para tu plano de control. Cuando creas un clúster con la marca --security-group-ids, debes pasar el ID del grupo de seguridad. Como alternativa, puedes actualizar los grupos de seguridad de tu clúster.
Crea el grupo de seguridad con las siguientes reglas:
| Tipo | Protocol | Puerto | Rangos de direcciones o SG | Descripción |
|---|---|---|---|---|
| Entrante | TCP | 443 | Rangos de grupos de nodos (en bloques de CIDR secundarios de VPC) | Permitir HTTPS desde nodos de grupos de nodos |
| Entrante | TCP | 8132 | Rangos de grupos de nodos (en bloques de CIDR secundarios de VPC) | Permitir conexiones de Konnectivity desde grupos de nodos |