Container Service for Kubernetes (ACK) クラスターを作成すると、クラスターのAPIサーバー用に内部対応のClassic Load Balancer (CLB) インスタンスが自動的に作成されます。 CLBインスタンスは、APIサーバーの内部エンドポイントとして機能します。 APIサーバーで詳細なアクセス制御が必要な場合は、ポート6443でリッスンするCLBインスタンスのリスナーのネットワークアクセス制御リスト (ACL) を設定できます。 ネットワークACLをホワイトリストまたはブラックリストとして設定して、APIサーバーへのアクセスを制限できます。 このトピックでは、APIサーバーの内部接続CLBインスタンスのリスナーを構成して、APIサーバーへのアクセスを制御する方法について説明します。
背景情報
CLBインスタンスの各リスナーに対してアクセス制御を設定できます。 リスナーを作成するとき、または既存のリスナーのアクセス制御設定を変更するときに、アクセス制御を構成できます。 詳細は、「アクセス制御」をご参照ください。
インターネット接続CLBインスタンスのリスナーのアクセス制御を設定するには、ネットワークACLを作成し、パブリックIPアドレスをネットワークACLに追加します。 手順は、このトピックの手順と同様です。
手順
特定のIPアドレスからのアクセスを許可またはブロックするために、さまざまなリスナーにホワイトリストまたはブラックリストを設定できます。
ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、管理するクラスターの名前をクリックします。 左側のウィンドウで、[クラスター情報] をクリックします。
[クラスター情報] ページで、[基本情報] タブをクリックします。 [クラスター情報] セクションで、[APIサーバー内部エンドポイント] の横にある [アクセス制御の設定] をクリックします。
SLBコンソールで、[アクセス制御の設定] パネルで [アクセス制御] をオンにし、ACLタイプをホワイトリストまたはブラックリストに設定し、ネットワークACLを選択して [OK] をクリックします。
アクセス制御を有効にする前に、ネットワークACLを作成する必要があります。 ネットワークACLの作成方法の詳細については、「ACLの作成」をご参照ください。 アクセス制御を有効にする方法の詳細については、「アクセス制御の有効化」をご参照ください。
重要次のCIDRブロックからのアクセスを受け入れるようにネットワークACLを設定する必要があります。
Container Service for KubernetesのコントロールプレーンCIDRブロック: 100.104.0.0/16。
クラスターが存在する仮想プライベートクラウド (VPC) のプライマリCIDRブロックとセカンダリCIDRブロック (存在する場合) 、またはクラスター内のノードのvSwitch CIDRブロック。
APIサーバーのCLBインスタンスにアクセスする必要があるクライアントによって使用されるパブリックCIDRブロック。
お使いのクラスターがACK edgeクラスターの場合、エッジノードによって使用されるパブリックCIDRブロック。
クラスタがACK Lingjunクラスタである場合、VPD (Vital Product Data) CIDRはブロックされます。
上記のCIDRブロックからのアクセスを受け入れるようにネットワークACLを設定する必要があります。 上記のCIDRブロックからのアクセスをブロックしないでください。