ACK集群創建時會為API Server自動創建一個私網CLB實例,作為集群API Server的內網連接端點。如需精準地訪問并控制API Server,您可以對該私網CLB實例的6443端口監聽(Listener)配置訪問控制,即設置訪問白名單或者黑名單。本文介紹如何通過配置私網CLB的監聽實現API Server的訪問控制。
背景信息
負載均衡提供監聽級別的訪問控制。您可以在創建監聽時配置訪問控制,也可以在監聽創建后修改或重新配置訪問控制。更多信息,請參見訪問控制。
如您希望配置公網CLB實例的監聽,可以通過添加公網的IP地址實現訪問控制。步驟與下文類似。
操作步驟
您可以針對不同的監聽設置訪問白名單或黑名單,只允許特定IP訪問或限制某些特定IP訪問。
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇集群信息。
在集群信息頁面,單擊基本信息頁簽,然后在集群信息區域,找到并單擊API Server內網連接端點右側的設置訪問控制。
在負載均衡控制臺跳轉的面板中,打開啟用訪問控制開關,然后配置訪問控制方式和訪問控制策略組,然后單擊確定。
在開啟訪問控制之前,您需要創建訪問控制策略。關于如何創建訪問控制策略組,請參見創建訪問控制策略組。關于如何啟用訪問控制,請參見開啟訪問控制。
重要訪問控制策略中,您必須放行如下網段。
容器服務 Kubernetes 版管控的網段100.104.0.0/16。
集群專有網絡VPC的主網段及附加網段(如有),或集群節點所在的交換機vSwitch網段。
其他需訪問API Server連接端點的客戶端出口網段。
ACK Edge集群還需放行邊緣節點出口網段。
ACK靈駿集群還需放行靈駿VPD網段。
配置訪問控制策略白名單時,務必將以上放行網段添加到白名單;配置訪問控制策略黑名單時,請勿將以上放行網段添加到黑名單。