ACK叢集建立時會為API Server自動建立一個私網CLB執行個體,作為叢集API Server的內網串連端點。如需精準地訪問並控制API Server,您可以對該私網CLB執行個體的6443連接埠監聽(Listener)配置存取控制,即設定訪問白名單或者黑名單。本文介紹如何通過配置私網CLB的監聽實現API Server的存取控制。
背景資訊
負載平衡提供監聽層級的存取控制。您可以在建立監聽時配置存取控制,也可以在監聽建立後修改或重新設定存取控制。更多資訊,請參見存取控制。
如您希望配置公網CLB執行個體的監聽,可以通過添加公網的IP地址實現存取控制。步驟與下文類似。
操作步驟
您可以針對不同的監聽設定訪問白名單或黑名單,只允許特定IP訪問或限制某些特定IP訪問。
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇叢集資訊。
在叢集資訊頁面,單擊基本資料頁簽,然後在叢集資訊地區,找到並單擊API Server內網串連端點右側的設定存取控制。
在負載平衡控制台跳轉的面板中,開啟啟用存取控制開關,然後配置存取控制方式和存取控制策略組,然後單擊確定。
在開啟存取控制之前,您需要建立存取控制策略。關於如何建立存取控制策略組,請參見建立存取控制策略組。關於如何啟用存取控制,請參見開啟存取控制。
重要存取控制策略中,您必須允許存取如下網段。
Container Service for Kubernetes管控的網段100.104.0.0/16。
叢集Virtual Private Cloud的主網段及附加網段(如有),或叢集節點所在的交換器vSwitch網段。
其他需訪問API Server串連端點的用戶端出口網段。
ACK Edge叢集還需允許存取邊緣節點出口網段。
ACK靈駿叢集還需允許存取靈駿VPD網段。
配置存取控制策略白名單時,務必將以上允許存取網段添加到白名單;配置存取控制策略黑名單時,請勿將以上允許存取網段添加到黑名單。