すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:ACKクラスターのセキュリティグループの設定と管理

    ドキュメントセンター

    Container Service for Kubernetes:ACKクラスターのセキュリティグループの設定と管理

    最終更新日:Oct 31, 2024

    Container Service for Kubernetes (ACK) クラスターは、セキュリティグループを使用して、コントロールプレーンノードとワーカーノード間のトラフィックを管理します。 セキュリティグループを使用して、ノード間のトラフィック、仮想プライベートクラウド (VPC) のリソース、および外部IPアドレスを管理することもできます。 クラスターまたはノードプールを作成すると、システムはクラスターまたはノードプールをデフォルトのセキュリティグループに関連付けます。 クラスターまたはノードプールを既存のセキュリティグループに関連付けることもできます。 クラスターまたはノードプールを既存のセキュリティグループに関連付ける場合、システムはデフォルトでセキュリティグループに追加のアクセスルールを設定しません。 セキュリティグループルールを手動で管理する必要があります。

    セキュリティグループルールを追加して、インターネットまたは内部ネットワークを介したセキュリティグループ内のElastic Compute Service (ECS) インスタンスへのアクセスを許可または拒否することができます。 詳細については、「概要」および「セキュリティグループルールの追加」をご参照ください。

    クラスターセキュリティグループの推奨されるインバウンドルールとアウトバウンドルール

    基本的なセキュリティグループ

    受信

    アクセス制御スコープ

    プロトコル

    ポート

    権限付与オブジェクト

    推奨設定

    ICMP

    -1/-1 (すべてのポート)

    0.0.0.0/0

    すべてのプロトコル

    -1/-1 (すべてのポート)

    • クラスターのデフォルトセキュリティグループのID。

    • ポッドCIDRブロック。 このルールは、Flannelネットワークモードでのみ必要です。 Terwayネットワークモードが使用されている場合は、このルールを追加しないでください。

    最小特権設定

    すべてのプロトコル

    53/53 (DNS)

    • クラスターのデフォルトセキュリティグループのID。

    • ポッドCIDRブロック。 このルールは、Flannelネットワークモードでのみ必要です。 Terwayネットワークモードが使用されている場合は、このルールを追加しないでください。

    ICMP

    -1/-1 (すべてのポート)

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (webhook)

    • 6443 (APIサーバー)

    • 8082 (heapster)

    • クラスタ内でWebhookとして機能するアプリケーションまたはコンポーネントのリスニングポート (ゲートキーパーがリッスンするポート8443など) 。

    すべてのプロトコル

    公開するアプリケーションとコンポーネントのポート。

    アプリケーションまたはコンポーネントを公開するIPアドレスまたはセキュリティグループ。

    アウトバウンド

    アクセス制御スコープ

    プロトコル

    ポート

    権限付与オブジェクト

    推奨設定

    すべてのプロトコル

    -1/-1 (すべてのポート)

    0.0.0.0/0

    最小特権設定

    すべてのプロトコル

    -1/-1 (すべてのポート)

    100.64.0.0/10 (Alibaba CloudリソースのCIDRブロック)

    すべてのプロトコル

    53/53 (DNS)

    • クラスターのKubernetes APIサーバーを公開するために使用されるServer Load Balancer (SLB) インスタンスのIPアドレス。

    • クラスターのデフォルトセキュリティグループのID。

    • ポッドCIDRブロック。 このルールは、Flannelネットワークモードでのみ必要です。 Terwayネットワークモードが使用されている場合は、このルールを追加しないでください。

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (APIサーバー)

    • 6443 (APIサーバー)

    すべてのプロトコル

    公開するアプリケーションとコンポーネントのポート。

    アプリケーションまたはコンポーネントを公開するIPアドレスまたはセキュリティグループ。

    高度なセキュリティグループ

    受信

    アクセス制御スコープ

    プロトコル

    ポート

    権限付与オブジェクト

    推奨設定

    ICMP

    -1/-1 (すべてのポート)

    0.0.0.0/0

    すべてのプロトコル

    -1/-1 (すべてのポート)

    • クラスターが存在するVPCのCIDRブロック。

    • クラスターが存在するVPCのセカンダリCIDRブロック。

    • ポッドCIDRブロック。 このルールは、Flannelネットワークモードでのみ必要です。 Terwayネットワークモードが使用されている場合は、このルールを追加しないでください。

    最小特権設定

    すべてのプロトコル

    53/53 (DNS)

    • ノードvSwitchおよびポッドvSwitchを含む、クラスターで使用されるすべてのvSwitchのCIDRブロック。

    • ポッドCIDRブロック。 このルールは、Flannelネットワークモードでのみ必要です。 Terwayネットワークモードが使用されている場合は、このルールを追加しないでください。

    ICMP

    -1/-1 (すべてのポート)

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (webhook)

    • 6443 (APIサーバー)

    • 8082 (heapster)

    • クラスタ内でWebhookとして機能するアプリケーションまたはコンポーネントのリスニングポート (ゲートキーパーがリッスンするポート8443など) 。

    すべてのプロトコル

    公開するアプリケーションとコンポーネントのポート。

    アプリケーションまたはコンポーネントを公開するIPアドレスまたはセキュリティグループ。

    アウトバウンド

    アクセス制御スコープ

    プロトコル

    ポート

    権限付与オブジェクト

    推奨設定

    すべてのプロトコル

    -1/-1 (すべてのポート)

    0.0.0.0/0

    最小特権設定

    すべてのプロトコル

    -1/-1 (すべてのポート)

    100.64.0.0/10 (Alibaba CloudリソースのCIDRブロック)

    すべてのプロトコル

    53/53 (DNS)

    • クラスターのKubernetes APIサーバーを公開するために使用されるSLBインスタンスのIPアドレス。

    • ノードvSwitchおよびポッドvSwitchを含む、クラスターで使用されるすべてのvSwitchのCIDRブロック。

    • ポッドCIDRブロック。 このルールは、Flannelネットワークモードでのみ必要です。 Terwayネットワークモードが使用されている場合は、このルールを追加しないでください。

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (APIサーバー)

    • 6443 (APIサーバー)

    すべてのプロトコル

    公開するアプリケーションとコンポーネントのポート。

    アプリケーションまたはコンポーネントを公開するIPアドレスまたはセキュリティグループ。

    セキュリティグループの削除保護を無効にする

    ACKクラスターに関連付けられているセキュリティグループが誤って削除されないように、デフォルトでACKクラスターに関連付けられているセキュリティグループに対して削除保護が有効になっています。 ECSコンソールでセキュリティグループを削除したときに次のエラーメッセージが表示された場合、セキュリティグループの削除保護が有効になっています。

    image

    セキュリティグループの削除保護をECSコンソールまたはAPIの呼び出しで手動で無効にすることはできません。 セキュリティグループに関連付けられているすべてのクラスターが削除されると、セキュリティグループの削除保護は自動的に無効になります。 セキュリティグループの削除保護を無効にするには、セキュリティグループに関連付けられているクラスターを順番に照会して削除する必要があります。 関連するクラスターを照会するには、次の手順を実行します。

    1. ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

    2. [クラスター] ページで、作成したクラスターの名前をクリックします。 [基本情報] タブをクリックして、クラスターのセキュリティグループを表示します。

      セキュリティグループに関連付けられているすべてのクラスターが削除された後、ECSコンソールでセキュリティグループを削除できます。 それでもセキュリティグループを削除できない場合は、ACKチームにチケットを起票します。

    セキュリティグループを削除する方法の詳細については、「セキュリティグループの削除」をご参照ください。

    関連トピック

    • デフォルトの許可または拒否のルールや名前空間の分離など、ネットワークセキュリティのベストプラクティスについては、「ネットワークセキュリティ」をご参照ください。

    • ECSインスタンスのCIDRブロック、Kubernetesポッド、サービスなど、Kubernetesクラスターのネットワークを計画する方法については、「ACKクラスターのCIDRブロックの計画」をご参照ください。