You need to enable JavaScript to run this app.
导航
API Server 使用的 CLB 是否可以配置访问控制?
最近更新时间:2024.10.18 16:32:27首次发布时间:2022.09.01 21:01:24

问题描述

为方便连接集群进行相关操作,通常需要开启集群 API Server 公网访问,目前容器服务通过负载均衡(CLB)和公网 IP(EIP)方式暴露 API Server 公网访问。

若不想直接暴露 EIP 给所有地址访问,是否可以针对源地址在 CLB 上进行网络访问控制配置?

解决方法

可以配置。可以通过 CLB 的访问控制设置白名单访问。

  1. 登录 容器服务控制台
  2. 在左侧导航栏单击 集群,找到目标集群,单击集群名称。
  3. 在集群 总览 页面的 概览 页签 集群 API Server 配置 区域下单击负载均衡实例名称。
    alt
  4. 系统跳转到 CLB 实例详情页的 概览 页签后,关闭 CLB 实例的 修改保护 按钮。
    alt
  5. 选择 监听器 页签,单击已有监听器右侧 操作 列下的 编辑监听器,为 CLB 实例开启 访问控制
    开启 访问控制 后,设置负载均衡访问控制白名单策略。详细的操作和参数说明,请参见 访问控制

    注意

    • 除用户侧访问 API Server 外,集群控制面组件和控制台也需要访问 API Server,因此白名单地址段还需要额外放通:
      • 100.64.0.0/10网段:用于控制面对集群的健康检查。
      • 节点所在私有网络(VPC)子网网段:用于集群中的节点访问 API Server。
    • 请填写准确的客户端请求源地址,并确保访问链路不会进行源网络地址转换(SNAT)。
    alt
  6. 为避免后续的误操作,配置完访问控制后,在 CLB 实例的 概览 页签,请重新开启 CLB 的 修改保护
    alt