安全组是一种虚拟防火墙,为同一个私有网络内具有相同安全保护需求并相互信任的云服务器提供访问策略,具备状态检测和数据包过滤能力,用于在云端划分安全域,是重要的网络安全隔离手段。
您可以通过配置安全组规则控制安全组内云服务器的入流量和出流量。更多安全组介绍,请参见 安全组。
为保证集群和节点本身功能的正常运作,确保集群和节点之间的网络正常连通,避免绑定无效安全组造成集群功能异常,容器服务默认提供一个节点安全组,命名格式为<集群ID>-common
(例如cc9l5hi6rsfek********-common
)。若默认安全组不能满足实际业务的安全需求,可以针对该集群节点额外添加自定义安全组,并根据业务需求配置安全组规则。
注意
容器服务自动创建的节点安全组入方向规则中,源地址属于本安全组的需全部放通,其余入方向端口放通规则参见:
Flannel 容器网络模型集群:
类型 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
---|---|---|---|---|---|---|
IPv4 | 1 | 允许 | ALL | - | sg-13fny******(本安全组 ID) | 放通本安全组内节点间的通信。放通 kube-apiserver、virtual-kubelet 组件和本安全组内节点间的通信。 |
IPv4 | 1 | 允许 | ALL | - | Pod CIDR | 放通集群网络内集群与节点间通信。 |
IPv4 | 1 | 允许 | ICMP | - | 0.0.0.0/0 | 放通 ICMP 协议,支持 Ping 操作。 |
IPv4 | 1 | 允许 | TCP | 22 | 0.0.0.0/0 | 放通 SSH 登录端口。 |
IPv4 | 1 | 允许 | TCP | 6443 | 0.0.0.0/0 | 放通 API Server 的公网访问端口。 |
IPv4 | 1 | 允许 | TCP | 10250 | 0.0.0.0/0 | 放通 Kubelet 的访问端口。 |
IPv4 | 1 | 允许 | TCP | 30000-32768 | 0.0.0.0/0 | 放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。 |
IPv4 | 1 | 允许 | UDP | 30000-32768 | 0.0.0.0/0 | 放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。 |
VPC-CNI 容器网络模型集群:
类型 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
---|---|---|---|---|---|---|
IPv4 | 1 | 允许 | ALL | - | sg-bqjz0******(Pod 关联安全组 ID) | 来自该安全组的 Pod 允许访问节点。 |
IPv4 | 1 | 允许 | ALL | - | sg-13fny******(本安全组 ID) | 放通本安全组内节点间的通信。放通 kube-apiserver、virtual-kubelet 和本安全组内节点间的通信。 |
IPv4 | 1 | 允许 | ICMP | - | 0.0.0.0/0 | 放通 ICMP 协议,支持 Ping 操作。 |
IPv4 | 1 | 允许 | TCP | 22 | 0.0.0.0/0 | 放通 SSH 登录端口。 |
IPv4 | 1 | 允许 | TCP | 6443 | 0.0.0.0/0 | 放通 API Server 的公网访问端口。 |
IPv4 | 1 | 允许 | TCP | 10250 | 0.0.0.0/0 | 放通 Kubelet 的访问端口。 |
IPv4 | 1 | 允许 | TCP | 30000-32768 | 0.0.0.0/0 | 放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。 |
IPv4 | 1 | 允许 | UDP | 30000-32768 | 0.0.0.0/0 | 放通节点的 NodePort 访问(LoadBalancer 类型的 Service 通常会经过 NodePort 转发)。 |
容器服务自动创建的节点安全组出方向规则默认为全通,详细规则参见:
类型 | 优先级 | 策略 | 协议类型 | 端口范围 | 目的地址 | 描述 |
---|---|---|---|---|---|---|
IPv4 | 1 | 允许 | ALL | - | 0.0.0.0/0 | 默认放通全部流量。 |
容器网络模型为 VPC-CNI 的集群,除了提供默认节点安全组<集群ID>-common
外,还会自动创建命名格式为<集群ID>-pod
(例如cc9l5hi6rsfek********-pod
)的默认安全组,用于为 Pod 设置安全组策略。
注意
容器服务自动创建的 Pod 安全组入方向规则默认为全通,详细规则参见:
类型 | 优先级 | 策略 | 协议类型 | 端口范围 | 源地址 | 描述 |
---|---|---|---|---|---|---|
IPv4 | 1 | 允许 | ALL | - | sg-13fnybqjz0r9******(安全组 ID) | 与节点安全组之间的互信。 |
IPv4 | 1 | 允许 | ALL | - | 0.0.0.0/0 | 默认放通全部流量。 |
容器服务自动创建的 Pod 安全组出方向规则默认为全通,详细规则参见:
类型 | 优先级 | 策略 | 协议类型 | 端口范围 | 目的地址 | 描述 |
---|---|---|---|---|---|---|
IPv4 | 1 | 允许 | ALL | - | 0.0.0.0/0 | 默认放通全部流量。 |