Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Cómputo
Elastic Cloud Server
Bare Metal Server
Auto Scaling
Image Management Service
Dedicated Host
FunctionGraph
Cloud Phone Host
Huawei Cloud EulerOS
Redes
Virtual Private Cloud
Elastic IP
Elastic Load Balance
NAT Gateway
Direct Connect
Virtual Private Network
VPC Endpoint
Cloud Connect
Enterprise Router
Enterprise Switch
Global Accelerator
Gestión y gobernanza
Cloud Eye
Identity and Access Management
Cloud Trace Service
Resource Formation Service
Tag Management Service
Log Tank Service
Config
Resource Access Manager
Simple Message Notification
Application Performance Management
Application Operations Management
Organizations
Optimization Advisor
Cloud Operations Center
Resource Governance Center
Migración
Server Migration Service
Object Storage Migration Service
Cloud Data Migration
Migration Center
Cloud Ecosystem
KooGallery
Partner Center
User Support
My Account
Billing Center
Cost Center
Resource Center
Enterprise Management
Service Tickets
HUAWEI CLOUD (International) FAQs
ICP Filing
Support Plans
My Credentials
Customer Operation Capabilities
Partner Support Plans
Professional Services
Análisis
MapReduce Service
Data Lake Insight
CloudTable Service
Cloud Search Service
Data Lake Visualization
Data Ingestion Service
GaussDB(DWS)
DataArts Studio
IoT
IoT Device Access
Otros
Product Pricing Details
System Permissions
Console Quick Start
Common FAQs
Instructions for Associating with a HUAWEI CLOUD Partner
Message Center
Seguridad y cumplimiento
Security Technologies and Applications
Web Application Firewall
Host Security Service
Cloud Firewall
SecMaster
Data Encryption Workshop
Database Security Service
Cloud Bastion Host
Data Security Center
Cloud Certificate Manager
Situation Awareness
Managed Threat Detection
Blockchain
Blockchain Service
Servicios multimedia
Media Processing Center
Video On Demand
Live
SparkRTC
Almacenamiento
Object Storage Service
Elastic Volume Service
Cloud Backup and Recovery
Storage Disaster Recovery Service
Scalable File Service
Volume Backup Service
Cloud Server Backup Service
Data Express Service
Dedicated Distributed Storage Service
Contenedores
Cloud Container Engine
SoftWare Repository for Container
Application Service Mesh
Ubiquitous Cloud Native Service
Cloud Container Instance
Bases de datos
Relational Database Service
Document Database Service
Data Admin Service
Data Replication Service
GeminiDB
GaussDB
Distributed Database Middleware
Database and Application Migration UGO
TaurusDB
Middleware
Distributed Cache Service
API Gateway
Distributed Message Service for Kafka
Distributed Message Service for RabbitMQ
Distributed Message Service for RocketMQ
Cloud Service Engine
EventGrid
Dedicated Cloud
Dedicated Computing Cluster
Aplicaciones empresariales
ROMA Connect
Message & SMS
Domain Name Service
Edge Data Center Management
Meeting
AI
Face Recognition Service
Graph Engine Service
Content Moderation
Image Recognition
Data Lake Factory
Optical Character Recognition
ModelArts
ImageSearch
Conversational Bot Service
Speech Interaction Service
Huawei HiLens
Developer Tools
SDK Developer Guide
API Request Signing Guide
Terraform
Koo Command Line Interface
Distribución de contenido y cómputo de borde
Content Delivery Network
Intelligent EdgeFabric
CloudPond
Soluciones
SAP Cloud
High Performance Computing
Servicios para desarrolladores
ServiceStage
CodeArts
CodeArts PerfTest
CodeArts Req
CodeArts Pipeline
CodeArts Build
CodeArts Deploy
CodeArts Artifact
CodeArts TestPlan
CodeArts Check
Cloud Application Engine
aPaaS MacroVerse
KooPhone
KooDrive
Centro de ayuda/ Cloud Container Engine/ Preguntas frecuentes/ Redes/ Planificación de la red/ Configuración de reglas de grupo de seguridad de clúster

Configuración de reglas de grupo de seguridad de clúster

Actualización más reciente 2023-08-08 GMT+08:00

CCE es una plataforma de contenedores universal. Sus reglas de grupo de seguridad predeterminadas se aplican a escenarios comunes. Cuando se crea un clúster, se crea automáticamente un grupo de seguridad para el nodo principal y el nodo de trabajo, por separado. El nombre del grupo de seguridad del nodo principal es {Cluster name}-cce-control-{Random ID} y el nombre del grupo de seguridad del nodo de trabajo es {Cluster name}-cce-node-{Random ID}. Si se utiliza un clúster de CCE Turbo, se crea un grupo de seguridad ENI adicional denominado {Cluster name}-cce-eni-{Random ID}.

Inicie sesión en la consola de gestión, seleccione Service List > Networking > Virtual Private Cloud. En la Consola de red, elija Access Control > Security Groups, busque la regla de grupo de seguridad del clúster de CCE y modifique y refuerce la regla de grupo de seguridad.

Si necesita especificar un grupo de seguridad de nodo al crear un clúster, active el puerto especificado haciendo referencia al Reglas de grupo de seguridad para nodos de trabajo creado automáticamente por el clúster para garantizar la comunicación de red normal en el clúster.

AVISO:

La modificación o eliminación de reglas de grupo de seguridad puede afectar a la ejecución del clúster. Tenga cuidado al realizar esta operación. Si necesita modificar las reglas del grupo de seguridad, no modifique las reglas del puerto del que depende la ejecución de CCE.

Reglas de grupo de seguridad para nodos de trabajo

Entrada

El nombre del grupo de seguridad del nodo de trabajo creado automáticamente es {Cluster name}-cce-node-{Random ID}. En la siguiente figura se muestra la regla de entrada predeterminada. Se debe permitir el tráfico de todas las direcciones IP de origen definidas en el grupo de seguridad. Para obtener más información sobre los puertos, consulte Tabla 1.

Figura 1 Grupo de seguridad predeterminado del nodo de trabajo en el modelo de red de VPC
Tabla 1 Puertos predeterminados en el grupo de seguridad del nodo de trabajo en el modelo de red de VPC

Puerto

Dirección de origen predeterminada

Descripción

Modificable

Sugerencia de modificación

UDP: todos

TCP: todos

Bloque CIDR de VPC

Se utiliza para el acceso mutuo entre nodos de trabajo y entre un nodo de trabajo y un nodo principal.

No

N/A

ICMP: todos

Bloque CIDR del nodo maestro

Se utiliza para que el nodo principal acceda a los nodos de trabajo.

No

N/A

TCP: 30000-32767

UDP: 30000-32767

Todas las direcciones IP

Intervalo de puertos de acceso predeterminado del NodePort Service en el clúster.

Estos puertos deben permitir solicitudes de VPC, contenedor y bloques de CIDR de ELB.

Todos

Bloque CIDR de contenedores

Se utiliza para el acceso mutuo entre nodos y contenedores.

No

N/A

Todos

Bloque CIDR de nodo de trabajo

Se utiliza para el acceso mutuo entre nodos de trabajo.

No

N/A

TCP: 22

Todas las direcciones IP

Puerto que permite el acceso remoto a los ECS de Linux mediante SSH.

Recomendado

N/A

Figura 2 Grupo de seguridad predeterminado del nodo de trabajo en el modelo de red de túnel
Tabla 2 Puertos predeterminados en el grupo de seguridad del nodo de trabajo en el modelo de red de túnel

Puerto

Dirección de origen predeterminada

Descripción

Modificable

Sugerencia de modificación

UDP: 4789

Todas las direcciones IP

Se utiliza para el acceso a la red entre contenedores.

No

N/A

TCP: 10250

Bloque CIDR del nodo maestro

Utilizado por el nodo principal para acceder proactivamente a kubelet del nodo (por ejemplo, ejecutando kubectl exec {pod}).

No

N/A

TCP: 30000-32767

UDP: 30000-32767

Todas las direcciones IP

Intervalo de puertos de acceso predeterminado del NodePort Service en el clúster.

Estos puertos deben permitir solicitudes de VPC, contenedor y bloques de CIDR de ELB.

TCP: 22

Todas las direcciones IP

Puerto que permite el acceso remoto a los ECS de Linux mediante SSH.

Recomendado

N/A

Todos

Grupo de seguridad actual y bloque CIDR de VPC

Se debe permitir el tráfico de las direcciones IP de origen definidas en el grupo de seguridad y el bloque CIDR de VPC.

No

N/A

Salida

De forma predeterminada, todos los grupos de seguridad creados por CCE permiten todo el tráfico outbound. Se recomienda conservar la configuración. Si necesita reforzar las reglas salientes, asegúrese de que los siguientes puertos estén habilitados:

Tabla 3 Configuraciones mínimas de reglas de grupo de seguridad saliente para un nodo de trabajo

Puerto

CIDR permitido

Descripción

UDP: 53

Servidor DNS de subred

Se utiliza para la resolución de nombres de dominio.

UDP: 4789 (solo se requiere para clústeres que utilizan el modelo de red de túnel de contenedor)

Todas las direcciones IP

Se utiliza para el acceso a la red entre contenedores.

TCP: 5443

Bloque CIDR del nodo maestro

Puerto en el que escucha kube-apiserver del nodo principal.

TCP: 5444

Bloque de CIDR de VPC y bloque de CIDR de contenedor

Puerto de servicio de kube-apiserver, que proporciona gestión del ciclo de vida de los recursos de Kubernetes.

TCP: 6443

Bloque CIDR del nodo maestro

-

TCP: 8445

Bloque CIDR de VPC

Utilizado por el complemento de almacenamiento de un nodo de trabajo para acceder al nodo principal.

TCP: 9443

Bloque CIDR de VPC

Utilizado por el complemento de red de un nodo de trabajo para acceder al nodo principal.

Reglas del grupo de seguridad ENI

Se creará un grupo de seguridad llamado {Cluster name}-cce-eni-{Random ID} para el clúster de CCE Turbo. En la siguiente figura se muestra la regla de entrada predeterminada. Para obtener más información sobre los puertos, consulte Tabla 4.

Tabla 4 Puertos predeterminados del grupo de seguridad ENI

Puerto

Dirección de origen predeterminada

Descripción

Modificable

Sugerencia de modificación

Todos

Grupo de seguridad actual y bloque CIDR de VPC

Se debe permitir el tráfico de las direcciones IP de origen definidas en el grupo de seguridad y el bloque CIDR de VPC.

No

N/A

Reglas del grupo de seguridad del nodo principal

El nombre del grupo de seguridad del nodo principal es {Cluster name}-cce-control-{Random ID}. En la siguiente figura se muestra la regla de entrada predeterminada. Se deben permitir todas las direcciones IP de origen definidas en el grupo de seguridad. Para obtener más información sobre los puertos, consulte Tabla 5.

Figura 3 Reglas de grupo de seguridad para el nodo principal
Tabla 5 Puertos predeterminados en el grupo de seguridad del nodo principal

Puerto

Dirección de origen predeterminada

Descripción

Modificable

Sugerencia de modificación

TCP: 5444

Bloque de CIDR de VPC y bloque de CIDR de contenedor

Puerto de servicio de kube-apiserver, que proporciona gestión del ciclo de vida de los recursos de Kubernetes.

No

N/A

UDP: 4789 (solo se requiere para clústeres que utilizan el modelo de red de túnel de contenedor)

Todas las direcciones IP

Se utiliza para el acceso a la red entre contenedores.

No

N/A

TCP: 9443

Bloque CIDR de VPC

Utilizado por el complemento de red de un nodo de trabajo para acceder al nodo principal.

No

N/A

TCP: 5443

Todas las direcciones IP

Puerto al que escucha kube-apiserver del nodo principal.

Los dos puertos deben permitir solicitudes de VPC y de bloques CIDR de contenedor y el bloque CIDR de plano de control de la malla de servicio alojada.

TCP: 8445

Bloque CIDR de VPC

Utilizado por el complemento de almacenamiento de un nodo de trabajo para acceder al nodo principal.

No

N/A

Todos

Grupo de seguridad actual y bloque CIDR de VPC

Se debe permitir el tráfico de las direcciones IP de origen definidas en el grupo de seguridad y el bloque CIDR de VPC.

No

N/A

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más

Comentarios

Comentarios

Comentarios

0/500

Seleccionar contenido

Enviar el contenido seleccionado con los comentarios