容器引擎推荐安全组设置

最近更新时间:2018-07-20 10:07:06

金山云容器引擎选择金山云私有网络VPC作为容器的底层网络,本文主要介绍使用金山云容器引擎安全组的使用原则,帮助大家选择对应的安全组策略。

安全组

安全组是一种有状态的服务器虚拟防火墙,它用于设置单台或多台云服务器的网络访问控制,是金山云提供的重要的网络安全隔离手段。更多关于安全组的信息,请参考安全组

使用容器引擎选择安全组的原则

  1. 容器集群中,不同的服务实例分布部署在集群中的不同节点,根据资源的使用情况不同服务的pod还会出现实例的迁移,建议同一集群下的云主机绑定同一个安全组规则,集群的安全组不添加其他的云主机
  2. 集群apiserver访问端口默认为6443,入站规则需要放通此端口
  3. 放通节点 30000 ~ 32768 端口。基于金山云容器引擎对外提供的服务访问方式,访问请求经过负载均衡转发到容器集群的Node IP:NodePort。Node IP是集群内任一节点的IP,Node Port创建服务时集群自动分配或者手动指定的,Node Port的范围是30000-32768,需要放通此范围的端口
  4. 需要 SSH 登录节点的放通 22 端口

推荐安全组设置

入站规则

协议 行为 起始端口 结束端口 源IP 备注
TCP 允许 6443 6443 0.0.0.0/0 放行apiserver访问端口
TCP 允许 30000 32768 0.0.0.0/0 放通所有IP对30000-32768端口的TCP访问
UDP 允许 30000 32768 0.0.0.0/0 放通所有IP对30000-32768端口的UDP访问
TCP 允许 22 22 0.0.0.0/0 放通所有IP对22端口的访问

出站规则

协议 行为 起始端口 结束端口 源IP 备注
IP 允许 - - 0.0.0.0/0 放行所有出VPC流量

备注:安全组入站规则必须放通6443端口,否则会造成容器集群不可用

金山云,开启您的云计算之旅

免费注册