IBM Cloud Docs
Creación y gestión de grupos de seguridad de VPC

copyright: years: 2023, 2025 lastupdated: "2025-03-13"

keywords: IBM Cloud Kubernetes Service, firewall, acl, acls, lista de control de acceso, reglas, grupo de seguridad

subcollection: containers

Creación y gestión de grupos de seguridad de VPC

Nube privada virtual

Adición de grupos de seguridad durante la creación del clúster

Al crear un clúster de VPC, el grupo de seguridad de trabajador predeterminado, que se denomina kube-<clusterID>, se crea automáticamente y se aplica a todos los trabajadores del clúster. También puede adjuntar grupos de seguridad adicionales junto con el grupo de seguridad de trabajador predeterminado. Los grupos de seguridad aplicados a los trabajadores del clúster son una combinación de los grupos de seguridad aplicados al crear el clúster y al crear el grupo de trabajadores. Se pueden aplicar un total de cinco grupos de seguridad a los nodos de trabajador, incluidos los grupos de seguridad predeterminados y los grupos de seguridad aplicados a la agrupación de trabajadores. Tenga en cuenta que la opción para añadir grupos de seguridad personalizados a trabajadores sólo está disponible en la CLI.

Los grupos de seguridad aplicados a un clúster no se pueden cambiar una vez que se ha creado el clúster. Puede cambiar las reglas de los grupos de seguridad que se aplican al clúster, pero no puede añadir ni eliminar grupos de seguridad a nivel de clúster. Si aplica los grupos de seguridad incorrectos en el momento de crear el clúster, debe suprimir el clúster y crear uno nuevo.

Si solo desea los grupos de seguridad predeterminados

Grupo de seguridad de VPC Grupo de seguridad de trabajador

Tenga en cuenta que este es el comportamiento predeterminado en el momento de crear el clúster.

Cuando cree el clúster, no especifique ningún grupo de seguridad adicional.

Mandato de ejemplo para crear un clúster de VPC solo con el grupo de seguridad de clúster de kube-<clusterID> y el grupo de seguridad de VPC predeterminado:

 ibmcloud ks cluster create vpc-gen2 --name <cluster-name> --zone <zone> --vpc-id <vpc-id> --subnet-id <subnet-id>

Se aplican los siguientes grupos de seguridad:

  • El grupo de seguridad VPC predeterminado (nombre generado aleatoriamente)
  • El grupo de seguridad de trabajador de kube-<clusterID>.

Si desea el grupo de seguridad de clúster y sus propios grupos de seguridad adicionales

Grupo de seguridad de VPC Grupo de seguridad de trabajador Sus propios grupos de seguridad

Cuando cree el clúster, especifique --cluster-security-group cluster y hasta cuatro grupos de seguridad adicionales de su propiedad. Debe incluir una opción --cluster-security-group aparte para cada grupo de seguridad individual que desee añadir. Tenga en cuenta que se pueden aplicar un máximo de cinco grupos de seguridad a los nodos de trabajador, incluidos los grupos de seguridad que se aplican de forma predeterminada.

Mandato de ejemplo para crear un clúster de VPC con el grupo de seguridad de clúster de kube-<clusterID> y sus propios grupos de seguridad adicionales:

 ibmcloud ks cluster create vpc-gen2 --name <cluster-name> --zone <zone> --vpc-id <vpc-id> --subnet-id <subnet-id> --cluster-security-group cluster --cluster-security-group <group-id-1> --cluster-security-group <group-id-2> --cluster-security-group <group-id-3>

Se aplican los siguientes grupos de seguridad:

  • El grupo de seguridad VPC predeterminado (nombre generado aleatoriamente).
  • Grupo de seguridad de trabajador de kube-<clusterID>
  • Hasta cuatro de sus propios grupos de seguridad adicionales, para un máximo de cinco grupos de seguridad en total.

Si solo desea sus propios grupos de seguridad

Grupo de seguridad de VPC Sus propios grupos de seguridad

Esta opción sólo está disponible en clústeres creados en las versiones 1.29 y anteriores. A partir de 1.30, todos los clústeres también obtienen el grupo de seguridad de nodo trabajador.

Cuando cree el clúster, especifique un máximo de cinco grupos de seguridad de su propiedad. Debe incluir una opción --cluster-security-group aparte para cada grupo de seguridad individual que desee añadir.

Mandato de ejemplo para crear un clúster de VPC solo con sus propios grupos de seguridad:

 ibmcloud ks cluster create vpc-gen2 --name <cluster-name> --zone <zone> --vpc-id <vpc-id> --subnet-id <subnet-id> --cluster-security-group <group-id-1> --cluster-security-group <group-id-2> --cluster-security-group <group-id-3>

Se aplican los siguientes grupos de seguridad:

  • El grupo de seguridad VPC predeterminado (nombre generado aleatoriamente)
  • Hasta cuatro de sus propios grupos de seguridad adicionales, para un máximo de cinco grupos de seguridad en total.

Adición de grupos de seguridad a agrupaciones de nodos trabajadores durante la creación

De forma predeterminada, los grupos de seguridad aplicados a una agrupación de trabajadores son los mismos grupos de seguridad que se indican en el momento de crear el clúster. Sin embargo, puede especificar grupos de seguridad adicionales para aplicarlos a una agrupación de trabajadores. Si aplica grupos de seguridad adicionales a la agrupación de trabajadores, el grupo de seguridad aplicado a los nodos de trabajador del clúster es una combinación de los grupos de seguridad aplicados en la creación del clúster y los grupos de seguridad aplicados a la agrupación de trabajadores.

Se puede aplicar un máximo de cinco grupos de seguridad a un trabajador, incluidos los grupos de seguridad aplicados de forma predeterminada.

Los grupos de seguridad aplicados a una agrupación de trabajadores no se pueden cambiar una vez creada la agrupación de trabajadores. Puede cambiar las reglas de los grupos de seguridad que se aplican a la agrupación de trabajadores, pero no puede añadir ni eliminar grupos de seguridad a nivel de agrupación de trabajadores. Si aplica los grupos de seguridad incorrectos en el momento de crear la agrupación de trabajadores, debe suprimir la agrupación de trabajadores y crear una nueva.

Si no desea conectar grupos de seguridad adicionales a la agrupación de trabajadores

Cuando cree la agrupación de trabajadores, no especifique ningún grupo de seguridad adicional.

Este escenario sólo se aplica a las versiones 1.29 y anteriores.

Mandato de ejemplo para crear una agrupación de trabajadores sin grupos de seguridad aplicados:

ibmcloud ks worker-pool create vpc-gen2 --name <worker_pool_name> --cluster <cluster_name_or_ID> --flavor <flavor> --size-per-zone <number_of_workers_per_zone>

Solo los grupos de seguridad aplicados al clúster se aplican a los nodos de trabajador.

Si desea adjuntar grupos de seguridad adicionales al grupo de trabajadores

Cuando cree el grupo de trabajadores, especifique grupos de seguridad adicionales en el momento de la creación del grupo de trabajadores. Debe incluir una opción --security-group aparte para cada grupo de seguridad individual que desee añadir.

Mandato de ejemplo para crear una agrupación de trabajadores con sus propios grupos de seguridad aplicados:

ibmcloud ks worker-pool create vpc-gen2 --name <worker_pool_name> --cluster <cluster_name_or_ID> --flavor <flavor> --size-per-zone <number_of_workers_per_zone> --security-group <group-id-1> --security-group <group-id-2> --security-group <group-id-3>

Los grupos de seguridad aplicados a los nodos de trabajador de la agrupación de trabajadores son una combinación de los que se aplican al clúster al que está conectada la agrupación de trabajadores y los que se aplican a la agrupación de trabajadores en el momento de crearla.

Visualización de grupos de seguridad

Siga los pasos para ver detalles sobre los grupos de seguridad de VPC.

  1. Enumere sus grupos y anote el ID del grupo en el que está trabajando.

    Para comprobar en qué VPC está un clúster, ejecute ibmcloud ks cluster get --cluster <cluster_name_or_id> y compruebe el ID de VPC en la salida.

    ibmcloud ks cluster ls --provider vpc-gen2

  2. Liste los grupos de seguridad conectados a la VPC en la que se encuentra el clúster. Al grupo de seguridad de VPC se le asigna un nombre generado aleatoriamente, por ejemplo, trench-hexagon-matriarch-flower. El grupo de seguridad del clúster se nombra en el formato kube-<cluster-ID>. El grupo de seguridad VPC se nombra en el formato kube-<vpc-ID>.

    ibmcloud is sgs | grep <vpc_name>

    Salida de ejemplo

    ID                                          Name                                             Rules   Network interfaces   VPC                          Resource group   

r006-111aa1aa-1a1a-1a11-1111-a111aaa1a11a   trench-hexagon-matriarch-flower                    4       0                    my-vpc                      default   
r006-222aa2aa-2a2a-2a22-2222-a222aaa2a22a   kube-a111a11a11aa1aa11a11                          4       0                    my-vpc                      default   
r006-333aa3aa-3a3a-3a33-3333-a333aaa3a33a   kube-r006-111a11aa-aaa1-1a1a-aa11-1a1a111aa11      4       0                    my-vpc                      default

  3. Obtenga los detalles de un grupo de seguridad. Busque la sección Reglas en la salida para ver las reglas de entrada y salida conectadas al grupo de seguridad.

    ibmcloud is sg GROUP

    Salida de ejemplo

    ...
Rules      
ID                                          Direction   IP version   Protocol                  Remote   
r006-111bb1bb-1b1b-1b11-1111-b111bbb1b11b   outbound    ipv4         all                       0.0.0.0/0   
r006-222bb2bb-2b2b-2b22-2222-b222bbb2b22b   inbound     ipv4         all                       behind-unbuilt-guidable-anthill   
r006-333bb3bb-3b3b-3b33-3333-b333bbb3b33b   inbound     ipv4         icmp Type=8               0.0.0.0/0   
r006-444bb4bb-4b4b-4b44-4444-b444bbb4b44b   inbound     ipv4         tcp Ports:Min=22,Max=22   0.0.0.0/0

Visualización de grupos de seguridad en la consola

  1. En el panel de control de Grupos de seguridad para VPC, busque los grupos de seguridad que están vinculados a la VPC en la que se encuentra su clúster.

  2. Haga clic en el grupo de seguridad.

    Para ordenar los grupos de seguridad por el VPC al que están conectados, pulse la cabecera de columna Virtual Private Clud en la tabla.

  3. Para ver las reglas de entrada y salida conectadas al grupo de seguridad, pulse la pestaña Reglas.

Creación de reglas de grupo de seguridad en la consola

  1. En el panel de control de la nube privada virtual, haga clic en el nombre del grupo de seguridad predeterminado para la nube privada virtual en la que se encuentra su clúster.
  2. Pulse el separador Reglas.
    • Para crear nuevas reglas de entrada para controlar el tráfico de entrada a los nodos de trabajador, en la sección de reglas de entrada, pulse Crear.
    • Para crear nuevas reglas para controlar el tráfico de salida a los nodos trabajadores, en la sección Reglas de salida suprima la regla predeterminada que permite todo el tráfico de salida. A continuación, en la sección de reglas de salida, pulse Crear.

Tenga en cuenta que además de las reglas que cree, también debe crear las reglas de entrada y salida necesarias.

Creación de reglas de grupo de seguridad en la línea de mandatos

Utilice la CLI de IBM Cloud para añadir reglas de entrada y salida al grupo de seguridad predeterminado para el clúster.

  1. Instale el plugin infrastructure-service. El prefijo para ejecutar mandatos es ibmcloud is.
    ibmcloud plugin install infrastructure-service
  2. Elija como destino región en la que está la VPC.
    ibmcloud target -r REGION
  3. Obtenga el ID del clúster.
    ibmcloud ks cluster get -c CLUSTER
  4. Obtenga una lista de los grupos de seguridad y anote el ID del grupo de seguridad predeterminado para la VPC. Tenga en cuenta que el grupo de seguridad predeterminado utiliza un nombre generado aleatoriamente y no el formato kube-<cluster_ID>.
    ibmcloud is sgs
    Salida de ejemplo con el grupo de seguridad predeterminado para la VPC de un nombre generado aleatoriamente, chamomile-dislodge-showier-unfilled.
    ID                                          Name                                       Rules   Network interfaces   VPC          Resource group
1a111a1a-a111-11a1-a111-111111111111        chamomile-dislodge-showier-unfilled        5       2                    events-vpc   default
2b222b2b-b222-22b2-b222-222222222222        kube-df253b6025d64744ab99ed63bb4567b6      5       3                    gen2-vpn     default
  5. Almacene el ID del grupo de seguridad como una variable de entorno.
    sg=GROUP
  6. Revise las reglas predeterminadas para el grupo de seguridad. Tenga en cuenta que además de las reglas que cree, también debe crear las reglas de entrada y salida necesarias. 
    ibmcloud is sg $sg

    • Para crear reglas de tráfico de entrada, utilice el mandato ibmcloud is sg-rulec <sg> inbound.

      ibmcloud is sg-rulec $sg inbound <protocol> [--remote <remote_address> | <CIDR_block> | <security_group_ID>] [--icmp-type <icmp_type> [--icmp-code <icmp_code>]] [--port-min <port_min>] [--port-max <port_max>]

    • Para crear reglas de tráfico de salida, utilice el mandato ibmcloud is sg-rulec <sg> outbound.

      ibmcloud is sg-rulec $sg outbound <protocol> [--remote <remote_address> | <CIDR_block> | <security_group_ID>] [--icmp-type <icmp_type> [--icmp-code <icmp_code>]] [--port-min <port_min>] [--port-max <port_max>]

      1. Después de crear reglas de salida personalizadas, obtenga el ID de la regla predeterminada que permite todo el tráfico de salida.

        ibmcloud is sg $sg

        Salida de ejemplo

        Rules
ID                                          Direction   IP version   Protocol                        Remote
r010-e3a34cbb-d5e8-4713-a57e-3e35a7458272   inbound     ipv4         all                             freeload-flavored-surging-repaying
r010-036c3a13-1c16-4425-9667-a4ec34b1702b   inbound     ipv4         icmp Type=8                     0.0.0.0/0
r010-15591636-6976-493f-a94f-70721702860a   inbound     ipv4         tcp Ports:Min=22,Max=22         0.0.0.0/0

      2. Suprima la regla predeterminada que permite todo el tráfico de salida.

        ibmcloud is security-group-rule-delete $sg <rule_ID>

Tenga en cuenta que puede crear sus propios grupos de seguridad, así como añadir o eliminar reglas además de las reglas que cree, también debe crear las reglas de entrada y salida necesarias.

Permitir que los nodos de los trabajadores se conecten al Ingress LoadBalancer

Siga los pasos para permitir que los nodos trabajadores se conecten al LoadBalancerde Ingress.

Este escenario sólo se aplica a las versiones 1.29 y anteriores.

  1. Obtenga el EXTERNAL-IP del servicio LoadBalancer.

    kubectl get svc -o wide -n openshift-ingress router-default

  2. Ejecute dig en EXTERNAL-IP para obtener las direcciones IP asociadas con LoadBalancer.

    dig <EXTERNAL-IP> +short

    Salida de ejemplo

    150.XXX.XXX.XXX
169.XX.XXX.XXX

  3. Cree reglas de seguridad de salida para cada una de las direcciones IP que ha recuperado anteriormente y el puerto 443.

    ibmcloud is sg-rulec <sg> outbound tcp --port-min 443 --port-max 443 --remote 150.XXX.XXX.XXX

Si los operadores de Ingress o de la consola no superan los controles de salud, puede repetir estos pasos para ver si el e LoadBalancer a las direcciones IP cambiadas. Aunque es poco frecuente, si la cantidad de tráfico a su LoadBalancers varía mucho, estas direcciones IP podrían cambiar para manejar el aumento o la disminución de la carga.