金山云容器服务选择金山云私有网络VPC作为容器的底层网络,本文主要介绍使用金山云容器服务安全组的使用原则,帮助大家选择对应的安全组策略。
安全组
安全组是一种有状态的服务器虚拟防火墙,它用于设置单台或多台云服务器的网络访问控制,是金山云提供的重要的网络安全隔离手段。更多关于安全组的信息,请参考安全组。
使用容器服务选择安全组的建议
- 容器集群中,不同的服务实例分布部署在集群中的不同节点,根据资源的使用情况不同服务的pod还会出现实例的迁移,建议同一集群下的云主机绑定同一个安全组规则,集群的安全组不添加其他的云主机。
- 若您需要基于Service的NodePort的模式进行服务转发(即访问Node IP:NodePort),其中Node Port创建Service时集群自动分配或者手动指定的,Node Port的范围是30000-32768,请根据自己的需要放行节点 30000 ~ 32768 端口。
- 需要 SSH 登录节点的放通 22 端口。
推荐安全组设置
入站规则
| 协议 | 行为 | 起始端口 | 结束端口 | 源IP | 备注 |
|---|---|---|---|---|---|
| TCP | 允许 | 30000 | 32768 | 0.0.0.0/0 | 放通所有IP对30000-32768端口的TCP访问 |
| UDP | 允许 | 30000 | 32768 | 0.0.0.0/0 | 放通所有IP对30000-32768端口的UDP访问 |
| TCP | 允许 | 22 | 22 | 0.0.0.0/0 | 放通所有IP对22端口的访问 |
出站规则
| 协议 | 行为 | 起始端口 | 结束端口 | 源IP | 备注 |
|---|---|---|---|---|---|
| IP | 允许 | - | - | 0.0.0.0/0 | 放行所有出VPC流量 |
文档内容是否对您有帮助?
根本没帮助
文档较差
文档一般
文档不错
文档很好
在文档使用中是否遇到以下问题
内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长
更多建议
0/200
评价建议不能为空
提交成功!
非常感谢您的反馈,我们会继续努力做到更好!