En esta página se explica cómo funcionan el aislamiento de red y los controles de acceso en el plano de control y los nodos de clúster de Google Kubernetes Engine (GKE). Esta página sustituye a la página que describe el concepto de clústeres privados.
Hay dos aspectos que debes tener en cuenta a la hora de decidir cómo configurar el aislamiento de la red:
- Acceso al plano de control: se refiere a quién puede acceder al plano de control del clúster.
- Redes de clúster, que se relaciona con el aislamiento de nodos.
En esta página se explica cómo controlar y personalizar quién puede acceder al plano de control y a los nodos del clúster (en un clúster estándar) o a las cargas de trabajo (en un clúster de Autopilot). Esta personalización es relevante cuando decides la configuración de red de tu clúster. Para ir directamente a la definición de la configuración de red, consulta Personalizar el aislamiento de la red.
Planifica y diseña la configuración de aislamiento de red con los arquitectos, ingenieros y administradores de red de tu organización, o con otro equipo que se encargue de definir, implementar y mantener la arquitectura de red.
Acceso al plano de control
En esta sección, se explica quién puede acceder a tu plano de control.
Todos los clústeres de GKE tienen un plano de control que gestiona las solicitudes de la API de Kubernetes. El plano de control se ejecuta en una máquina virtual (VM) que se encuentra en una red VPC de un proyecto gestionado por Google. Un clúster regional tiene varias réplicas del plano de control, cada una de las cuales se ejecuta en su propia VM.
El plano de control tiene dos tipos de endpoints para acceder al clúster:
- Endpoint basado en DNS
- Endpoints basados en IP
Usa solo el endpoint basado en DNS para acceder a tu plano de control y disfrutar de una configuración simplificada y de una capa de seguridad flexible basada en políticas.
Endpoint basado en DNS
El endpoint basado en DNS proporciona un nombre de dominio cualificado (FQDN) o DNS único para cada plano de control del clúster. Este nombre DNS se puede usar para acceder a tu plano de control. El nombre de DNS se resuelve en un endpoint al que se puede acceder desde cualquier red a la que puedan acceder las APIs de Trusted Cloud by S3NS , incluidas las redes on-premise u otras redes en la nube. Al habilitar el endpoint basado en DNS, no es necesario usar un host bastion ni nodos proxy para acceder al plano de control desde otras redes de VPC o ubicaciones externas.
Para acceder al endpoint del plano de control, debes configurar roles y políticas de gestión de identidades y accesos, así como tokens de autenticación. Para obtener más información sobre los permisos exactos que se necesitan, consulta Personalizar el aislamiento de la red.
Además de las políticas y los tokens de gestión de identidades y accesos, también puedes configurar los siguientes atributos de acceso:
Controles basados en direcciones IP o redes con Controles de Servicio de VPC: para mejorar la seguridad del plano de control de tu clúster de GKE, Controles de Servicio de VPC añade otra capa de seguridad de acceso. Utiliza el acceso contextual basado en atributos como el origen de la red.
Controles de Servicio de VPC no admite directamente clústeres con direcciones IP públicas para su plano de control. Sin embargo, los clústeres de GKE, incluidos los clústeres privados y públicos, obtienen protección de Controles de Servicio de VPC cuando accedes a ellos mediante el endpoint basado en DNS.
Configura Controles de Servicio de VPC para proteger el endpoint basado en DNS de tu clúster de GKE incluyendo
container.googleapis.comykubernetesmetadata.googleapis.comen la lista de servicios restringidos de tu perímetro de servicio. Si añades estas APIs a tu perímetro de servicio, se habilitará VPC-SC para todas las operaciones de la API de GKE. Esta configuración ayuda a garantizar que los perímetros de seguridad definidos rigen el acceso al plano de control.Si usas políticas de gestión de identidades y accesos y Controles de Servicio de VPC para proteger el acceso al endpoint basado en DNS, crearás un modelo de seguridad de varias capas para el plano de control de tu clúster. Los Controles de Servicio de VPC se integran con los servicios compatibles. Trusted Cloud by S3NS Alinea la configuración de seguridad de tu clúster con los datos que alojas en otros servicios de Trusted Cloud by S3NS .
Private Service Connect o Cloud NAT: para acceder al endpoint basado en DNS desde clientes que no tengan acceso público a Internet. De forma predeterminada, se puede acceder al endpoint basado en DNS a través de las Trusted CloudAPIs disponibles en la red pública de Internet. Para obtener más información, consulta la sección Endpoint basado en DNS de la página Personalizar el aislamiento de la red.
Endpoints basados en IP
También puedes configurar el acceso al plano de control mediante endpoints basados en IP.
Terminología relacionada con clústeres y direcciones IP
Trusted Cloud by S3NS Direcciones IP externas:
Direcciones IP externas asignadas a cualquier máquina virtual utilizada por cualquier cliente alojado enTrusted Cloud by S3NS. Trusted Cloud by S3NS es el propietario de estas direcciones IP. Para obtener más información, consulta ¿Dónde puedo encontrar los intervalos de IPs de Compute Engine?
Direcciones IP externas usadas por productos como Cloud Run o Cloud Run Functions. Trusted Cloud by S3NS Cualquier cliente alojado en Trusted Cloud by S3NS puede instanciar estas direcciones IP. Trusted Cloud by S3NS es el propietario de estas direcciones IP.
Direcciones IP reservadas por Google: direcciones IP externas para gestionar clústeres de GKE. Estas direcciones IP incluyen procesos gestionados de GKE y otros servicios de producción de Google. Google es el propietario de estas direcciones IP.
Intervalos de direcciones IP del clúster de GKE: direcciones IP internas asignadas al clúster que GKE usa para los nodos, los pods y los servicios del clúster.
Direcciones IP internas: direcciones IP de la red VPC de tu clúster. Estas direcciones IP pueden incluir la dirección IP de tu clúster, las redes on-premise, los intervalos RFC 1918 o las direcciones IP públicas usadas de forma privada (PUPI) que incluyen intervalos que no son RFC 1918.
Endpoint externo: la dirección IP externa que GKE asigna al plano de control.
Endpoint interno: la dirección IP interna que GKE asigna al plano de control.
Red de VPC: una red virtual en la que creas subredes con intervalos de direcciones IP específicos para los nodos y los pods del clúster.
Cuando se usan endpoints basados en IP, hay dos opciones:
Expón el plano de control en los endpoints externos e internos. Esto significa que se puede acceder al endpoint externo del plano de control desde una dirección IP externa y al endpoint interno desde la red de VPC de tu clúster. Los nodos solo se comunicarán con el plano de control en el endpoint interno.
Expón el plano de control solo en el endpoint interno. Esto significa que los clientes de Internet no pueden conectarse al clúster y que se puede acceder al plano de control desde cualquier dirección IP de la red VPC del clúster. Los nodos solo se comunicarán con el plano de control en el endpoint interno.
Esta es la opción más segura cuando se usan endpoints basados en IP, ya que impide todo acceso a Internet al plano de control. Esta opción es adecuada si tienes cargas de trabajo que, por ejemplo, requieren un acceso controlado debido a las normativas de privacidad y seguridad de los datos.
En ambas opciones anteriores, puedes restringir las direcciones IP que acceden a los endpoints configurando redes autorizadas. Si usas endpoints basados en IP, te recomendamos encarecidamente que añadas al menos una red autorizada. Las redes autorizadas conceden acceso al plano de control a un conjunto específico de direcciones IPv4 de confianza y proporcionan protección y ventajas de seguridad adicionales a tu clúster de GKE.
Habilita las redes autorizadas cuando utilices endpoints basados en IP para proteger tu clúster de GKE.
Cómo funcionan las redes autorizadas
Las redes autorizadas proporcionan un cortafuegos basado en IP que controla el acceso al plano de control de GKE. El acceso al plano de control depende de las direcciones IP de origen. Cuando habilitas las redes autorizadas, configuras las direcciones IP a las que quieres permitir el acceso al endpoint del plano de control del clúster de GKE como una lista de bloques CIDR.
En la siguiente tabla se muestra lo siguiente:
- Las direcciones IP predefinidas que siempre pueden acceder al plano de control de GKE, independientemente de si habilitas las redes autorizadas.
- Las direcciones IP configurables que pueden acceder al plano de control cuando las añades a la lista de permitidas habilitando las redes autorizadas.
| Endpoints del plano de control | Direcciones IP predefinidas que siempre pueden acceder a los endpoints | Dirección IP configurable que puede acceder a los endpoints después de habilitar las redes autorizadas. |
|---|---|---|
| Puntos finales externos e internos habilitados |
|
|
| Solo se ha habilitado el endpoint interno |
|
|
Con una red autorizada, también puedes configurar la región desde la que una dirección IP interna puede acceder al endpoint interno de tu plano de control. Puedes permitir el acceso solo desde la red VPC del clúster o desde cualquier Trusted Cloud by S3NS región de una VPC o un entorno on-premise.
Limitaciones del uso de endpoints basados en IP
- Si amplías una subred que utiliza un clúster con redes autorizadas, debes actualizar la configuración de la red autorizada para incluir el intervalo de direcciones IP ampliado.
- Si tienes clientes que se conectan desde redes con direcciones IP dinámicas, como empleados en redes domésticas, debes actualizar la lista de redes autorizadas con frecuencia para mantener el acceso al clúster.
- Si inhabilitas el acceso al endpoint externo del plano de control, no podrás interactuar con tu clúster de forma remota. Si necesitas acceder al clúster de forma remota, debes usar un host bastion que reenvíe el tráfico del cliente al clúster. Por el contrario, usar un endpoint basado en DNS solo requiere configurar permisos de gestión de identidades y accesos.
- Los endpoints basados en IP no se integran directamente con Controles de Servicio de VPC. Controles de Servicio de VPC opera a nivel de perímetro de servicio para controlar el acceso a los datos y su movimiento dentro de Trusted Cloud by S3NS. Te recomendamos que utilices un endpoint basado en DNS con Controles de Servicio de VPC para disfrutar de una defensa de seguridad sólida.
- Puedes especificar hasta 100 intervalos de direcciones IP autorizadas (incluidas las direcciones IP externas e internas).
Acceso a redes de clúster
En esta sección se explica cómo aislar nodos en un clúster de Kubernetes.
Habilitar nodos privados
Para evitar que los clientes externos accedan a los nodos, aprovisiona esos nodos solo con direcciones IP internas, lo que hará que sean privados. Las cargas de trabajo que se ejecutan en nodos sin una dirección IP externa no pueden acceder a Internet a menos que NAT esté habilitado en la red del clúster. Puedes cambiar esta configuración en cualquier momento.
Puedes habilitar nodos privados a nivel de clúster o de grupo de nodos (en el caso de los clústeres estándar) o de carga de trabajo (en el caso de los clústeres Autopilot). Si habilitas los nodos privados a nivel de grupo de nodos o de carga de trabajo, se anulará cualquier configuración de nodos a nivel de clúster.
Si actualizas un grupo de nodos público al modo privado, es posible que las cargas de trabajo que requieran acceso fuera de la red del clúster fallen en los siguientes casos:
Clústeres de una red de VPC compartida en la que no está habilitada la función Acceso privado de Google. Habilita manualmente el acceso privado de Google para asegurarte de que GKE descarga la imagen de nodo asignada. En el caso de los clústeres que no están en una red de VPC compartida, GKE habilita automáticamente la función Acceso privado de Google.
Cargas de trabajo que requieren acceso a Internet en las que Cloud NAT no está habilitado o no se ha definido una solución NAT personalizada. Para permitir el tráfico saliente a Internet, habilita Cloud NAT o una solución NAT personalizada.
Tanto si habilitas los nodos privados como si no, el plano de control se comunica con todos los nodos únicamente a través de direcciones IP internas.
Ventajas del aislamiento de la red
Estas son las ventajas del aislamiento de la red:
Flexibilidad:
- Los clústeres tienen una configuración unificada y flexible. Los clústeres con o sin endpoints externos comparten la misma arquitectura y admiten las mismas funciones. Puedes proteger el acceso en función de los controles y las prácticas recomendadas que se adapten a tus necesidades. Toda la comunicación entre los nodos de tu clúster y el plano de control se realiza mediante una dirección IP interna.
- Puedes cambiar los ajustes de acceso al plano de control y de configuración de los nodos del clúster en cualquier momento sin tener que volver a crear el clúster.
- Puedes habilitar el endpoint externo del plano de control si necesitas gestionar tu clúster desde cualquier ubicación con acceso a Internet o desde redes o dispositivos que no estén conectados directamente con tu VPC. También puedes inhabilitar el endpoint externo para mejorar la seguridad si necesitas mantener el aislamiento de la red en cargas de trabajo sensibles. En cualquier caso, puedes usar redes autorizadas para limitar el acceso a intervalos de direcciones IP de confianza.
Seguridad:
- Los endpoints basados en DNS con Controles de Servicio de VPC proporcionan un modelo de seguridad multicapa que protege tu clúster frente a redes no autorizadas, así como frente a identidades no autorizadas que acceden al plano de control. Controles de Servicio de VPC se integra con Registros de Auditoría de Cloud para monitorizar el acceso al plano de control.
- Los nodos privados y las cargas de trabajo que se ejecutan en ellos no son accesibles directamente desde Internet público, lo que reduce significativamente la posibilidad de que tu clúster sufra ataques externos.
- Puedes bloquear el acceso al plano de control desde Trusted Cloud by S3NS direcciones IP externas o desde direcciones IP externas para aislar por completo el plano de control del clúster y reducir la exposición a posibles amenazas de seguridad.
Cumplimiento: si trabajas en un sector con normativas estrictas sobre el acceso y el almacenamiento de datos, los nodos privados te ayudan a cumplir los requisitos, ya que garantizan que los datos sensibles permanezcan en tu red privada.
Control: los nodos privados te ofrecen un control exhaustivo sobre el flujo de tráfico dentro y fuera de tu clúster. Puedes configurar reglas de cortafuegos y políticas de red para permitir solo la comunicación autorizada. Si trabajas en entornos multinube, los nodos privados pueden ayudarte a establecer una comunicación segura y controlada entre diferentes entornos.
Coste: si habilitas los nodos privados, puedes reducir los costes de los nodos que no necesiten una dirección IP externa para acceder a los servicios públicos de Internet.
Siguientes pasos
- Consulta cómo personalizar el aislamiento de tu red.
- Consulta información sobre Private Service Connect.