Container Service for Kubernetes：配置安全性群組

安全性群組定義

安全性群組是一個邏輯上的分組，由同一地區內具有相同安全保護需求並相互信任的執行個體組成。通過添加安全性群組規則，安全性群組可以允許或拒絕安全性群組內ECI執行個體對公網或者私網的訪問，以及管理是否允許存取來自公網或私網的訪問請求。

安全性群組類型

安全性群組分為普通安全性群組和企業安全性群組，建立時預設添加的安全性群組規則如下：

• 入方向：允許存取80、443、22、3389及ICMP協議，可修改。

• 出方向：允許所有訪問請求。

兩種安全性群組主要的功能差異如下表所示。

安全性群組規則

安全性群組通過配置規則來控制出入流量。一條安全性群組規則由規則方向、授權策略、協議類型、連接埠範圍、授權對象等屬性確定。關於安全性群組規則，請注意以下事項：

• 每個安全性群組的入方向規則與出方向規則的總數不能超過200條。

• 添加規則時遵守最小授權原則。例如：

  • 選擇開放具體的連接埠，如80/80，避免開放連接埠範圍，如1/80。

  • 謹慎授權全網段訪問源，即0.0.0.0/0。

Kubernetes方式

在Kubernetes情境中通過Virtual Node使用ECI時，叢集中所有ECI執行個體將預設加入到Virtual Node設定的安全性群組中。如果有特殊需求，您也可以為某個ECI執行個體指定其它安全性群組。

• 叢集

  您可以通過kubectl edit命令修改eci-profile設定檔，在data中修改ECI執行個體預設使用的安全性群組ID。

  說明

  Virtual Node版本為v2.0.0.90-15deb126e-aliyun及以上時，支援修改eci-profile實現配置熱更新。如果您的Virtual Node版本低於該版本，建議您升級Virtual Node。

  kubectl edit configmap eci-profile -n kube-system

  修改data中的securityGroupId欄位，樣本如下：

  data:
    enableClusterIp: "true"
    enableHybridMode: "false"
    enablePrivateZone: "false"
    resourceGroupId: ""
    securityGroupId: sg-2ze0b9o8pjjzts4h**** #指定安全性群組ID
    selectors: ""
    vSwitchIds: vsw-2zeet2ksvw7f14ryz****,vsw-2ze94pjtfuj9vaymf****  
    vpcId: vpc-2zeghwzptn5zii0w7****

• ECI執行個體

  對於單個ECI執行個體，您可以在Pod metadata中添加Annotation來指定安全性群組。配置樣本如下：

  apiVersion: apps/v1
  kind: Deployment
  metadata:
    name: demo
    labels:
      app: nginx
  spec:
    replicas: 1
    selector:
      matchLabels:
        app: nginx
    template:
      metadata:
          annotations: 
  
              k8s.aliyun.com/eci-security-group: "sg-bp1dktddjsg5nktv****"      #設定安全性群組
  
          labels:
              app: nginx
      spec:
        containers:
        - name: nginx
          image: nginx:latest
  

OpenAPI方式

調用CreateContainerGroup介面建立ECI執行個體時，您可以通過SecurityGroupId參數來指定安全性群組。SecurityGroupId的參數說明如下表所示。更多資訊，請參見CreateContainerGroup。

控制台方式

通過Elastic Container Instance售賣頁建立ECI執行個體時，您可以指定一個安全性群組。