ACK集群使用安全組來約束控制面節點和Worker節點之間的網絡流量。安全組還用于控制節點、VPC資源和外部IP地址之間的流量。創建集群或節點池時,系統會默認自動為您分配一個安全組,您也可以指定關聯已有安全組。指定已有安全組時,系統默認不會為安全組配置額外的訪問規則,請自行管理并收斂安全組規則。
您可以通過添加安全組規則,允許或禁止安全組內的ECS實例對公網或私網的訪問。更多信息,請參見安全組概述、添加安全組規則。
集群安全組出、入規則推薦配置
普通安全組
入方向
集群訪問規則 | 協議 | 端口 | 授權對象 |
推薦范圍 | ICMP | -1/-1(不限制端口) | 0.0.0.0/0 |
所有協議 | -1/-1(不限制端口) |
| |
最小范圍 | 所有協議 | 53/53(DNS) |
|
ICMP | -1/-1(不限制端口) | ||
TCP |
| ||
所有協議 | 所有應用或組件期望被訪問的端口 | 所有應用或組件期望被訪問的來源地址或者來源安全組 |
出方向
集群訪問規則 | 協議 | 端口 | 授權對象 |
推薦范圍 | 所有協議 | -1/-1(不限制端口) | 0.0.0.0/0 |
最小范圍 | 所有協議 | -1/-1(不限制端口) | 100.64.0.0/10 (云產品網段) |
所有協議 | 53/53(DNS) |
| |
TCP |
| ||
所有協議 | 所有應用或組件期望訪問的端口 | 所有應用或組件期望訪問的目的地址或者目的安全組 |
企業安全組
入方向
集群訪問規則 | 協議 | 端口 | 授權對象 |
推薦范圍 | ICMP | -1/-1(不限制端口) | 0.0.0.0/0 |
所有協議 | -1/-1(不限制端口) |
| |
最小范圍 | 所有協議 | 53/53(DNS) |
|
ICMP | -1/-1(不限制端口) | ||
TCP |
| ||
所有協議 | 所有應用或組件期望被訪問的端口 | 所有應用或組件期望被訪問的來源地址或者來源安全組 |
出方向
集群訪問規則 | 協議 | 端口 | 授權對象 |
推薦范圍 | 所有協議 | -1/-1(不限制端口) | 0.0.0.0/0 |
最小范圍 | 所有協議 | -1/-1(不限制端口) | 100.64.0.0/10 (云產品網段) |
所有協議 | 53/53(DNS) |
| |
TCP |
| ||
所有協議 | 所有應用或組件期望訪問的端口 | 所有應用或組件期望訪問的目的地址或者目的安全組 |
關閉安全組刪除保護
為了防止集群關聯的安全組被誤刪除,ACK會為所有集群關聯的安全組開啟刪除保護功能。當您在ECS控制臺釋放安全組時遇到如下報錯,表明該安全組被ACK開啟了刪除保護功能。
目前安全組的刪除保護功能無法通過控制臺或API手動關閉。只有當所有依賴該安全組的集群均被刪除后,ACK才會自動釋放對該安全組的刪除保護。請依次查詢ACK集群所關聯的安全組,并刪除所有依賴該安全組的集群。查詢步驟如下。
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱。單擊基本信息頁簽,查看集群所在的安全組。
當所有依賴該安全組的集群均已刪除后,您可以通過ECS控制臺繼續釋放該安全組。如果釋放失敗,請提交工單給容器服務團隊。
關于如何刪除安全組,請參見刪除安全組。
相關文檔
關于網絡安全的最佳實踐,例如默認允許或拒絕規則、命名空間隔離等,請參見網絡安全。
關于如何規劃Kubernetes集群網絡,包括ECS地址、Kubernetes Pod地址、Service地址等,請參見Kubernetes集群網絡規劃。