You need to enable JavaScript to run this app.
导航
容器服务
  • 文档首页
    • /
  • 容器服务

安全组设置

最近更新时间2024.03.07 17:36:34

首次发布时间2022.01.21 15:07:40

我的收藏

安全组是一种虚拟防火墙,为同一个私有网络内具有相同安全保护需求并相互信任的云服务器提供访问策略,具备状态检测和数据包过滤能力,用于在云端划分安全域,是重要的网络安全隔离手段。

您可以通过配置安全组规则控制安全组内云服务器的入流量和出流量。更多安全组介绍,请参见 安全组

容器服务安全组的使用原则

  • 容器服务集群中,业务服务实例通常以分布式的方式部署在集群的各个节点上,为确保集群内部对服务访问流量的转发通畅,要求同一个集群下的主机节点绑定相同的安全组,集群的安全组不添加其他云服务器。
  • 安全组遵循只开放最小权限的原则。自定义安全组出方向和入方向访问规则的推荐范围、最小范围,请参见 集群访问规则
  • 为保证集群的正常运行,需对容器服务运行依赖的端口,放通以下安全组规则:
    • 放通 SSH 登录节点时依赖的 22 端口。
    • 放通节点 30000 ~ 32768 端口,以便 NodePort 类型服务的访问流量在节点上的转发。
    • 放通节点 6443 端口,以便 Kubernetes API Server 的安全访问。
    • 放通节点 10250 端口,Kubelet 默认对外暴露的访问端口。
    • 放通容器(Pod)网络和集群节点(Node)网络。
    • 若是存在同一私有网络下不同集群互访的情况,需放通对应集群的容器网络和集群节点网络。

节点默认安全组规则

为保证集群和节点本身功能的正常运作,确保集群和节点之间的网络正常连通,避免绑定无效安全组造成集群功能异常,容器服务默认提供一个节点安全组,命名格式为<集群ID>-common(例如cc9l5hi6rsfek********-common)。若默认安全组不能满足实际业务的安全需求,可以针对该集群节点额外添加自定义安全组,并根据业务需求配置安全组规则。

注意

  • 修改或删除节点安全组规则可能影响集群的正常运行,请尽量避免对容器服务运行依赖的端口规则进行修改。
  • 安全组规则优先级相同的情况下,拒绝策略优先于允许策略。若需添加安全组规则,请避免新增安全组规则与集群默认安全组规则冲突。
  • 删除集群时,默认同步删除该集群关联创建的节点安全组。

入方向规则

容器服务自动创建的节点安全组入方向规则中,源地址属于本安全组的需全部放通,其余入方向端口放通规则参见:

  • Flannel 容器网络模型集群:

    类型优先级策略协议类型端口范围源地址描述
    IPv41允许ALL-sg-13fny******(本安全组 ID)放通本安全组内节点间的通信。放通 kube-apiserver、virtual-kubelet 组件和本安全组内节点间的通信。
    IPv41允许ALL-Pod CIDR放通集群网络内集群与节点间通信。
    IPv41允许ICMP-0.0.0.0/0放通 ICMP 协议,支持 Ping 操作。
    IPv41允许TCP220.0.0.0/0放通 SSH 登录端口。
    IPv41允许TCP64430.0.0.0/0放通 API Server 的公网访问端口。
    IPv41允许TCP102500.0.0.0/0放通 Kubelet 的访问端口。
    IPv41允许TCP30000-327680.0.0.0/0放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。
    IPv41允许UDP30000-327680.0.0.0/0放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。

  • VPC-CNI 容器网络模型集群:

    类型优先级策略协议类型端口范围源地址描述
    IPv41允许ALL-sg-bqjz0******(Pod 关联安全组 ID)来自该安全组的 Pod 允许访问节点。
    IPv41允许ALL-sg-13fny******(本安全组 ID)放通本安全组内节点间的通信。放通 kube-apiserver、virtual-kubelet 和本安全组内节点间的通信。
    IPv41允许ICMP-0.0.0.0/0放通 ICMP 协议,支持 Ping 操作。
    IPv41允许TCP220.0.0.0/0放通 SSH 登录端口。
    IPv41允许TCP64430.0.0.0/0放通 API Server 的公网访问端口。
    IPv41允许TCP102500.0.0.0/0放通 Kubelet 的访问端口。
    IPv41允许TCP30000-327680.0.0.0/0放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。
    IPv41允许UDP30000-327680.0.0.0/0放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。

出方向规则

容器服务自动创建的节点安全组出方向规则默认为全通,详细规则参见:

类型优先级策略协议类型端口范围目的地址描述
IPv41允许ALL-0.0.0.0/0默认放通全部流量。

Pod 默认安全组规则

容器网络模型为 VPC-CNI 的集群,除了提供默认节点安全组<集群ID>-common外,还会自动创建命名格式为<集群ID>-pod(例如cc9l5hi6rsfek********-pod)的默认安全组,用于为 Pod 设置安全组策略。

注意

  • VPC-CNI 网络模型集群会自动创建,Flannel 网络模型集群不涉及。
  • 修改或删除 Pod 安全组规则可能影响集群的正常运行。
  • 删除 VPC-CNI 网络模型集群时,默认同步删除该集群关联创建的 Pod 安全组。

入方向规则

容器服务自动创建的 Pod 安全组入方向规则默认为全通,详细规则参见:

类型优先级策略协议类型端口范围源地址描述
IPv41允许ALL-sg-13fnybqjz0r9******(安全组 ID)与节点安全组之间的互信。
IPv41允许ALL-0.0.0.0/0默认放通全部流量。

出方向规则

容器服务自动创建的 Pod 安全组出方向规则默认为全通,详细规则参见:

类型优先级策略协议类型端口范围目的地址描述
IPv41允许ALL-0.0.0.0/0默认放通全部流量。