文档首页> 云容器引擎 CCE> 常见问题> 网络管理> 安全加固> 如何加固CCE集群的自动创建的安全组规则?
更新时间:2022-05-06 GMT+08:00
分享

如何加固CCE集群的自动创建的安全组规则?

CCE作为通用的容器平台,安全组规则的设置适用于通用场景。CCE集群在创建时将会自动为Master节点和Node节点分别创建一个安全组,其中Master节点的安全组名称是:{集群名}-cce-control-{随机ID};Node节点的安全组名称是:{集群名}-cce-node-{随机ID}。使用CCE Turobo集群时会额外创建一个ENI的安全组,名为{集群名}-cce-eni-{随机ID}

用户可根据安全需求,登录CCE控制台,单击服务列表中的“网络 > 虚拟私有云 VPC”,在网络控制台中单击“访问控制 > 安全组”,找到CCE集群对应的安全组规则进行修改和加固。

通过CCE自动创建的安全组出方向规则默认为全通,入方向端口放通规则参见Master节点安全组规则Node节点安全组规则

安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作。如需修改安全组规则,请尽量避免对CCE运行依赖的端口规则进行修改。

Master节点安全组规则

Master节点的安全组名称是为{集群名}-cce-control-{随机ID},默认入方向规则如下图所示,源地址属于本安全组的需全部放通,其余端口说明参见表1

图1 Master节点安全组规则
表1 Master节点安全组默认端口说明

端口

默认源地址

说明

是否支持修改

修改建议

TCP:5444

VPC网段、容器网段

kube-apiserver服务端口,提供k8s资源的生命周期管理。

不建议修改

不涉及

UDP:4789(仅容器隧道网络模型的集群需要)

所有IP地址

容器间网络互访。

不建议修改

不涉及

TCP:9443

VPC网段

Node节点网络插件访问Master节点。

不建议修改

不涉及

TCP:5443

所有IP地址

master的kube-apiserver的监听端口。

可修改

端口需保留对VPC网段、容器网段和托管网格控制面网段放通。

TCP:8445

VPC网段

Node节点存储插件访问Master节点。

不建议修改

不涉及

全部

本安全组或VPC网段

源地址属于本安全组的需全部放通。

不建议修改

不涉及

5443端口默认对所有网段放通,如果您需要对安全组做加固,请保留5443端口对198.19.128.0/20、198.19.160.0/20、198.19.176.0/20网段放通,以使用CloudShell功能。因为CloudShell基于VPCEP实现,当5443端口未放通198.19.128.0/20网段时将无法访问集群。VPCEP的安全组说明请参见这里

Node节点安全组规则

Node节点的安全组名称为{集群名}-cce-node-{随机ID},默认入方向规则如下图所示,源地址属于本安全组的需全部放通,其余端口说明参见表2

图2 VPC网络模型Node节点默认安全组
表2 VPC网络模型Node节点安全组默认端口说明

端口

默认源地址

说明

是否可修改

修改建议

UDP:全部

TCP:全部

VPC网段

Node节点之间互访、Node节点与Master节点互访。

不建议修改

不涉及

ICMP:全部

Master节点网段

Master节点访问Node节点。

不建议修改

不涉及

TCP:30000-32767

UDP:30000-32767

所有IP地址

集群NodePort服务默认访问端口范围。

可修改

端口需对VPC网段、容器网段和ELB的网段放通。

全部

容器网段

节点与容器互访。

不建议修改

不涉及

全部

Node节点网段

Node节点之间互访。

不建议修改

不涉及

TCP:22

所有IP地址

允许SSH远程连接Linux弹性云服务器。

建议修改

不涉及

图3 容器隧道网络模型Node节点默认安全组
表3 容器隧道网络模型Node节点安全组默认端口说明

端口

默认源地址

说明

是否可修改

修改建议

UDP:4789

所有IP地址

容器间网络互访。

不建议修改

不涉及

TCP:10250

master节点网段

master的主动访问node的kubelet(如执行kubectl exec {pod})。

不建议修改

不涉及

TCP:30000-32767

UDP:30000-32767

所有IP地址

集群NodePort服务默认访问端口范围。

可修改

端口需对VPC网段、容器网段和ELB的网段放通。

TCP:22

所有IP地址

允许SSH远程连接Linux弹性云服务器。

建议修改

不涉及

全部

本安全组或VPC网段

源地址属于本安全组的需全部放通。

不建议修改

不涉及

ENI安全组规则

CCE Turobo集群会额外创建名为{集群名}-cce-eni-{随机ID}的安全组,默认入方向规则如下图所示。端口说明参见表4

表4 ENI安全组默认端口说明

端口

默认源地址

说明

是否可修改

修改建议

全部

本安全组或VPC网段

源地址属于本安全组的需全部放通。

不建议修改

不涉及

分享:

安全加固所有常见问题

more

close