文档中心

集群访问规则

最近更新时间：2023.04.04 17:30:43

首次发布时间：2023.04.04 11:01:54

在创建集群、节点池并指定安全组后，系统除了容器服务默认的安全组规则外，不会配置额外的访问规则，需自行管理安全组规则。本文主要介绍自行管理容器服务相关的安全组规则时，出方向和入方向访问规则的推荐范围、最小范围。

通过配置安全组访问规则，允许或禁止安全组内的节点（ECS 实例）访问公网或私网。容器服务的安全组设置，请参见安全组设置；更多安全组管理相关操作，请参见 ECS 的管理安全组访问规则。

入方向访问规则

集群访问规则	协议	端口	授权对象
推荐范围	ICMP	ALL	0.0.0.0/0
推荐范围	ALL	ALL	节点默认安全组 ID Pod 默认安全组 ID（VPC-CNI 网络模型）或 Pod CIDR（Flannel 网络模型）
最小范围	ALL	53/53（DNS）	节点默认安全组 ID Pod 默认安全组 ID（VPC-CNI 网络模型）或 Pod CIDR（Flannel 网络模型）
	ICMP	ALL
	TCP	10250（Kubelet） 10255（Kubelet） 443（Webhook） 6443（APIServer）
	ALL	所有应用或组件期望被访问的端口	所有应用或组件期望访问的目的 IP 地址所有应用或组件期望访问的目的安全组 ID

集群访问规则	协议	端口	授权对象
推荐范围	ALL	ALL	0.0.0.0/0
最小范围	ALL	ALL	100.64.0.0/10 （云产品网段）
	ALL	53/53（DNS）	集群 API Server 使用的 CLB IP 地址节点默认安全组 ID Pod 默认安全组 ID（VPC-CNI 网络模型）或 Pod CIDR（Flannel 网络模型）
	TCP	10250（Kubelet） 10255（Kubelet） 443（APIServer） 6443（APIServer）
	ALL	所有应用或组件期望访问的端口	所有应用或组件期望访问的目的 IP 地址所有应用或组件期望访问的目的安全组 ID

入方向访问规则

出方向访问规则