安全组是一种虚拟防火墙，为同一个私有网络内具有相同安全保护需求并相互信任的云服务器提供访问策略，具备状态检测和数据包过滤能力，用于在云端划分安全域，是重要的网络安全隔离手段。您可以通过配置安全组规则控制安全组内云服务器的入流量和出流量。更多安全组介绍，请参见 [安全组](https://www.volcengine.com/docs/6401/68892)。 ## 安全组使用原则 * 容器服务集群中，业务服务实例通常以分布式的方式部署在集群的各个节点上，为确保集群内部对服务访问流量的转发通畅，要求同一个集群下的主机节点绑定相同的安全组，集群的安全组不添加其他云服务器。 * 安全组遵循只开放最小权限的原则。自定义安全组出方向和入方向访问规则的推荐范围、最小范围，请参见 [集群访问规则](https://www.volcengine.com/docs/6460/198909)。 * 为保证集群的正常运行，需对容器服务运行依赖的端口，放通以下安全组规则： * 放通 SSH 登录节点时依赖的 22 端口。 * 放通节点 30000～32768 端口，以便 NodePort 类型服务的访问流量在节点上的转发。 * 放通节点 6443 端口，以便 Kubernetes API Server 的安全访问。 * 放通节点 10250 端口，Kubelet 默认对外暴露的访问端口。 * 放通容器（Pod）网络和集群节点（Node）网络。 * 若是存在同一私有网络下不同集群互访的情况，需放通对应集群的容器网络和集群节点网络。 ## 节点默认安全组为保证集群和节点本身功能的正常运作，确保集群和节点之间的网络正常连通，避免绑定无效安全组造成集群功能异常，容器服务默认提供一个节点安全组，命名格式为`<集群ID>-common` （例如`cc9l5hi6rsfek********-common` ）。若默认安全组不能满足实际业务的安全需求，可以针对该集群节点额外添加自定义安全组，并根据业务需求配置安全组规则。 :::warning * 修改或删除节点安全组规则可能影响集群的正常运行，请尽量避免对容器服务运行依赖的端口规则进行修改。 * 安全组规则优先级相同的情况下，拒绝策略优先于允许策略。若需添加安全组规则，请避免新增安全组规则与集群默认安全组规则冲突。 * 删除集群时，默认同步删除该集群关联创建的节点安全组。 ::: ### 入方向规则容器服务自动创建的节点安全组入方向规则中，源地址属于本安全组的需全部放通，其余入方向端口放通规则参见： * Flannel 网络模型集群： |类型 |优先级 |策略 |协议类型 |端口范围 |源地址 |描述 | |---|---|---|---|---|---|---| |IPv4 |1 |允许 |ALL |\- |cd6f6astnt\*\*\*\-common（本安全组） |放通本安全组内节点间的通信。放通 kube\-apiserver、virtual\-kubelet 组件和本安全组内节点间的通信。 | |IPv4 |1 |允许 |ALL |\- |cd6f6astnt\*\*\*\-pod（ Pod 安全组） |放通 Pod 与节点间通信。 | |IPv4 |1 |允许 |ICMP |\- |0.0.0.0/0 |放通 ICMP 协议，支持 Ping 操作。 | |IPv4 |1 |允许 |TCP |22 |0.0.0.0/0 |放通 SSH 登录端口。 | |IPv4 |1 |允许 |TCP |6443 |0.0.0.0/0 |放通 API Server 的公网访问端口。 | |IPv4 |1 |允许 |TCP |10250 |0.0.0.0/0 |放通 Kubelet 的访问端口。 | |IPv4 |1 |允许 |TCP |30000\-32768 |0.0.0.0/0 |放通节点的 NodePort 访问（LoadBalancer 类型的 Service 通常会经过 NodePort 转发）。 | |IPv4 |1 |允许 |UDP |30000\-32768 |0.0.0.0/0 |放通节点的 NodePort 访问（LoadBalancer 类型的 Service 通常会经过 NodePort 转发）。 | * VPC\-CNI 网络模型集群： |类型 |优先级 |策略 |协议类型 |端口范围 |源地址 |描述 | |---|---|---|---|---|---|---| |IPv4 |1 |允许 |ALL |\- |192.168.0.0/16（VPC CIDR） |默认放通私有网络（VPC）的 CIDR，允许 VPC 中的所有资源相互访问。本文以`192.168.0.0/16`为例。 | |IPv4 |1 |允许 |ICMP |\- |0.0.0.0/0 |放通 ICMP 协议，支持 Ping 操作。 | |IPv4 |1 |允许 |TCP |22 |0.0.0.0/0 |放通 SSH 登录端口。 | |IPv4 |1 |允许 |TCP |6443 |0.0.0.0/0 |放通 API Server 的公网访问端口。 | |IPv4 |1 |允许 |TCP |10250 |0.0.0.0/0 |放通 Kubelet 的访问端口。 | |IPv4 |1 |允许 |TCP |30000\-32768 |0.0.0.0/0 |放通节点的 NodePort 访问（LoadBalancer 类型的 Service 通常会经过 NodePort 转发）。 | |IPv4 |1 |允许 |UDP |30000\-32768 |0.0.0.0/0 |放通节点的 NodePort 访问（LoadBalancer 类型的 Service 通常会经过 NodePort 转发）。 | ### 出方向规则容器服务自动创建的节点安全组出方向规则默认为全通，详细规则参见： |类型 |优先级 |策略 |协议类型 |端口范围 |目的地址 |描述 | |---|---|---|---|---|---|---| |IPv4 |1 |允许 |ALL |\- |0.0.0.0/0 |默认放通全部流量。 | ## Pod 默认安全组除了默认的节点安全组`<集群ID>-common` 外，系统还会自动创建命名格式为`<集群ID>-pod`（例如`cc9l5hi6rsfek********-pod`）的默认安全组，用于为 Pod 设置安全组策略。 :::warning * 仅 **VPC\-CNI** 网络模型集群会自动创建，**Flannel** 网络模型集群不涉及。 * 修改或删除 Pod 安全组规则可能影响集群的正常运行。 * 删除 **VPC\-CNI** 网络模型集群时，默认同步删除该集群关联创建的 Pod 安全组。 ::: ### 入方向规则容器服务自动创建的 Pod 安全组入方向规则默认为全通，详细规则参见： * Flannel 网络模型集群： |类型 |优先级 |策略 |协议类型 |端口范围 |源地址 |描述 | |---|---|---|---|---|---|---| |IPv4 |1 |允许 |ALL |\- |cd6f6astnt\*\*\*\-pod（本安全组） |允许 Pod 安全组和节点安全组之间相互信任。 | |IPv4 |1 |允许 |ALL |\- |0.0.0.0/0 |默认放通全部流量。 | * VPC\-CNI 网络模型集群： |类型 |优先级 |策略 |协议类型 |端口范围 |源地址 |描述 | |---|---|---|---|---|---|---| |IPv4 |1 |允许 |ALL |\- |192.168.0.0/16（VPC CIDR） |默认放通私有网络（VPC）的 CIDR，允许 VPC 中的所有资源相互访问。本文以`192.168.0.0/16`为例。 | |IPv4 |1 |允许 |ALL |\- |0.0.0.0/0 |默认放通全部流量。 | ### 出方向规则容器服务自动创建的 Pod 安全组出方向规则默认为全通，详细规则参见： |类型 |优先级 |策略 |协议类型 |端口范围 |目的地址 |描述 | |---|---|---|---|---|---|---| |IPv4 |1 |允许 |ALL |\- |0.0.0.0/0 |默认放通全部流量。 |