ACK叢集使用安全性群組來約束控制面節點和Worker節點之間的網路流量。安全性群組還用於控制節點、VPC資源和外部IP地址之間的流量。建立叢集或節點池時,系統會預設自動為您分配一個安全性群組,您也可以指定關聯已有安全性群組。指定已有安全性群組時,系統預設不會為安全性群組配置額外的訪問規則,請自行管理並收斂安全性群組規則。
您可以通過添加安全性群組規則,允許或禁止安全性群組內的ECS執行個體對公網或私網的訪問。更多資訊,請參見安全性群組概述、添加安全性群組規則。
叢集安全性群組出、入規則推薦配置
普通安全性群組
入方向
叢集訪問規則 | 協議 | 連接埠 | 授權對象 |
推薦範圍 | ICMP | -1/-1(不限制連接埠) | 0.0.0.0/0 |
所有協議 | -1/-1(不限制連接埠) |
| |
最小範圍 | 所有協議 | 53/53(DNS) |
|
ICMP | -1/-1(不限制連接埠) | ||
TCP |
| ||
所有協議 | 所有應用或組件期望被訪問的連接埠 | 所有應用或組件期望被訪問的來源地址或者來源安全性群組 |
出方向
叢集訪問規則 | 協議 | 連接埠 | 授權對象 |
推薦範圍 | 所有協議 | -1/-1(不限制連接埠) | 0.0.0.0/0 |
最小範圍 | 所有協議 | -1/-1(不限制連接埠) | 100.64.0.0/10 (雲產品網段) |
所有協議 | 53/53(DNS) |
| |
TCP |
| ||
所有協議 | 所有應用或組件期望訪問的連接埠 | 所有應用或組件期望訪問的目的地址或者目的安全性群組 |
企業安全性群組
入方向
叢集訪問規則 | 協議 | 連接埠 | 授權對象 |
推薦範圍 | ICMP | -1/-1(不限制連接埠) | 0.0.0.0/0 |
所有協議 | -1/-1(不限制連接埠) |
| |
最小範圍 | 所有協議 | 53/53(DNS) |
|
ICMP | -1/-1(不限制連接埠) | ||
TCP |
| ||
所有協議 | 所有應用或組件期望被訪問的連接埠 | 所有應用或組件期望被訪問的來源地址或者來源安全性群組 |
出方向
叢集訪問規則 | 協議 | 連接埠 | 授權對象 |
推薦範圍 | 所有協議 | -1/-1(不限制連接埠) | 0.0.0.0/0 |
最小範圍 | 所有協議 | -1/-1(不限制連接埠) | 100.64.0.0/10 (雲產品網段) |
所有協議 | 53/53(DNS) |
| |
TCP |
| ||
所有協議 | 所有應用或組件期望訪問的連接埠 | 所有應用或組件期望訪問的目的地址或者目的安全性群組 |
關閉安全性群組刪除保護
為了防止叢集關聯的安全性群組被誤刪除,ACK會為所有叢集關聯的安全性群組開啟刪除保護功能。當您在ECS控制台釋放安全性群組時遇到如下報錯,表明該安全性群組被ACK開啟了刪除保護功能。
目前安全性群組的刪除保護功能無法通過控制台或API手動關閉。只有當所有依賴該安全性群組的叢集均被刪除後,ACK才會自動釋放對該安全性群組的刪除保護。請依次查詢ACK叢集所關聯的安全性群組,並刪除所有依賴該安全性群組的叢集。查詢步驟如下。
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱。單擊叢集資源頁簽,查看叢集所在的安全性群組。
當所有依賴該安全性群組的叢集均已刪除後,您可以通過ECS控制台繼續釋放該安全性群組。如果釋放失敗,請
提交工單給Container Service團隊。
關於如何刪除安全性群組,請參見刪除安全性群組。
相關文檔
關於網路安全的最佳實務,例如預設允許或拒絕規則、命名空間隔離等,請參見網路安全。
關於如何規劃Kubernetes叢集網路,包括ECS地址、Kubernetes Pod地址、Service地址等,請參見Kubernetes叢集網路規劃。