You need to enable JavaScript to run this app.
导航
集群访问规则
最近更新时间:2024.04.30 17:41:59首次发布时间:2023.04.04 11:01:54

在创建集群、节点池并指定安全组后,系统除了容器服务默认的安全组规则外,不会配置额外的访问规则,需自行管理安全组规则。本文主要介绍自行管理容器服务相关的安全组规则时,出方向和入方向访问规则的推荐范围、最小范围。

通过配置安全组访问规则,允许或禁止安全组内的节点(ECS 实例)访问公网或私网。容器服务的安全组设置,请参见 安全组设置;更多安全组管理相关操作,请参见 ECS 的 管理安全组访问规则

入方向访问规则

集群访问规则协议端口授权对象
推荐范围ICMPALL0.0.0.0/0

ALL

ALL

  • 节点默认安全组 ID
  • Pod 默认安全组 ID(VPC-CNI 网络模型)或 Pod CIDR(Flannel 网络模型)

最小范围

ALL

53/53(DNS)

  • 节点默认安全组 ID
  • Pod 默认安全组 ID(VPC-CNI 网络模型)或 Pod CIDR(Flannel 网络模型)
ICMPALL

TCP

  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(Webhook)
  • 6443(APIServer)

ALL

所有应用或组件期望被访问的端口

  • 所有应用或组件期望访问的目的 IP 地址
  • 所有应用或组件期望访问的目的安全组 ID

出方向访问规则

集群访问规则协议端口授权对象
推荐范围ALLALL0.0.0.0/0
最小范围ALLALL100.64.0.0/10 (云产品网段)

ALL

53/53(DNS)

  • 集群 API Server 使用的 CLB IP 地址
  • 节点默认安全组 ID
  • Pod 默认安全组 ID(VPC-CNI 网络模型)或 Pod CIDR(Flannel 网络模型)

TCP

  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(APIServer)
  • 6443(APIServer)

ALL

所有应用或组件期望访问的端口

  • 所有应用或组件期望访问的目的 IP 地址
  • 所有应用或组件期望访问的目的安全组 ID