最近更新时间:2024-01-05 09:58:04
安全问题向来是一个大家非常关注的问题,金山云容器服务选择金山云私有网络VPC作为容器的底层网络,本文主要介绍使用金山云容器服务安全组的使用原则,帮助大家选择对应的安全组策略。
安全组是一种有状态的服务器虚拟防火墙,它用于设置单台或多台云服务器的网络访问控制,是金山云提供的重要的网络安全隔离手段。您可以通过配置安全组规则控制安全组内云服务器的入流量和出流量。更多关于安全组的信息,请参见 安全组。
容器集群中,不同的服务实例分布部署在集群中的不同节点,根据资源的使用情况不同服务的Pod还会出现实例的迁移,建议同一集群下的云主机绑定同一个安全组规则,集群的安全组不添加其他的云主机。
若您需要基于Service的NodePort的模式进行服务转发(即访问Node IP:NodePort),其中Node Port创建Service时集群自动分配或者手动指定的,Node Port的范围是30000-32768,请根据自己的需要放行节点 30000 ~ 32768 端口。
需要 SSH 登录节点的放通 22 端口。
为保证集群和节点本身功能的正常运作,确保集群和节点之间的网络正常连通,避免绑定无效安全组造成集群功能异常,容器服务为用户提供了默认安全组配置规则,如下表所示。若默认安全组不能满足实际业务的安全需求,可以针对该集群节点额外添加自定义安全组,并根据业务需求配置安全组规则。
注意:
修改或删除节点安全组规则可能影响集群的正常运行,请尽量避免对容器服务运行依赖的端口规则进行修改。
安全组规则优先级相同的情况下,拒绝策略优先于允许策略。若需添加安全组规则,请避免新增安全组规则与集群默认安全组规则冲突。
删除集群时,默认同步删除该集群关联创建的节点安全组。
协议 | 优先级 | 策略 | 起始端口 | 结束端口 | 源IP | 备注 |
TCP | 1 | 允许 | 30000 | 32768 | 0.0.0.0/0 | 放通所有IP对30000-32768端口的TCP访问 |
UDP | 1 | 允许 | 30000 | 32768 | 0.0.0.0/0 | 放通所有IP对30000-32768端口的UDP访问 |
TCP | 1 | 允许 | 22 | 22 | 0.0.0.0/0 | 放通所有IP对22端口的访问 |
协议 | 优先级 | 策略 | 起始端口 | 结束端口 | 源IP | 备注 |
IP | 1 | 允许 | - | - | 0.0.0.0/0 | 放行所有出VPC流量 |
纯净模式