导航
容器服务
搜索目录或文档标题搜索目录或文档标题
产品动态
产品公告
安全公告
Kubernetes 版本发布记录
组件发布记录
监控组件
DNS 组件
GPU 组件
用户指南
网络
服务(Service)
路由(Ingress)
ALB Ingress
CLB Ingress
Nginx Ingress
APIG Ingress
域名解析(DNS)
集群网络配置
工作负载
存储管理
TOS 对象存储卷
NAS 文件存储卷
CloudFS 大数据文件存储卷
弹性伸缩
GPU
可观测性
AIOps 套件
弹性容器实例
最新动态
最佳实践
网络
云原生 AI
API 参考
集群管理
弹性容器实例
常见问题
通用 FAQ
集群 FAQ
集群管理
节点与节点池 FAQ
工作负载 FAQ
服务与路由 FAQ
存储 FAQ
弹性伸缩 FAQ
可观测性 FAQ
授权 FAQ
配额 FAQ
组件 FAQ
容器镜像 FAQ
- 文档首页 /容器服务/常见问题/集群 FAQ/集群安全/API Server 使用的 CLB 是否可以配置访问控制?
API Server 使用的 CLB 是否可以配置访问控制?
最近更新时间:2024.10.18 16:32:27首次发布时间:2022.09.01 21:01:24
文档反馈
问题描述
为方便连接集群进行相关操作,通常需要开启集群 API Server 公网访问,目前容器服务通过负载均衡(CLB)和公网 IP(EIP)方式暴露 API Server 公网访问。
若不想直接暴露 EIP 给所有地址访问,是否可以针对源地址在 CLB 上进行网络访问控制配置?
解决方法
可以配置。可以通过 CLB 的访问控制设置白名单访问。
- 登录 容器服务控制台。
- 在左侧导航栏单击 集群,找到目标集群,单击集群名称。
- 在集群 总览 页面的 概览 页签 集群 API Server 配置 区域下单击负载均衡实例名称。
- 系统跳转到 CLB 实例详情页的 概览 页签后,关闭 CLB 实例的 修改保护 按钮。
- 选择 监听器 页签,单击已有监听器右侧 操作 列下的 编辑监听器,为 CLB 实例开启 访问控制。
开启 访问控制 后,设置负载均衡访问控制白名单策略。详细的操作和参数说明,请参见 访问控制。注意
- 除用户侧访问 API Server 外,集群控制面组件和控制台也需要访问 API Server,因此白名单地址段还需要额外放通:
100.64.0.0/10网段:用于控制面对集群的健康检查。- 节点所在私有网络(VPC)子网网段:用于集群中的节点访问 API Server。
- 请填写准确的客户端请求源地址,并确保访问链路不会进行源网络地址转换(SNAT)。
- 除用户侧访问 API Server 外,集群控制面组件和控制台也需要访问 API Server,因此白名单地址段还需要额外放通:
- 为避免后续的误操作,配置完访问控制后,在 CLB 实例的 概览 页签,请重新开启 CLB 的 修改保护。
