Políticas de grupo de segurança
No Cloud Native Network 2.0, os pods usam ENIs da VPC ou sub-ENIs para rede. Você pode vincular diretamente grupos de segurança e EIPs aos pods. Para vincular pods do CCE a grupos de segurança, o CCE fornece um objeto de recurso personalizado chamado SecurityGroup. Usando esse objeto de recurso, você pode personalizar o isolamento de segurança para cargas de trabalho.
Restrições
- Esta função é apoiada para os clusters do CCE Turbo de v1.19 e mais recente. Atualize seus clusters do CCE Turbo se suas versões forem anteriores à v1.19.
- Uma carga de trabalho pode ser vinculada a um máximo de cinco grupos de segurança.
Usar o console
- Efetue logon no console do CCE e clique no nome do cluster para acessar o console do cluster.
- No painel de navegação, escolha Workloads. Na página exibida, clique no nome da carga de trabalho desejada.
- Alterne para a página de guia SecurityGroups e clique em Create.
- Defina os parâmetros conforme descrito em Tabela 1.
Tabela 1 Parâmetros de configuração Parâmetro
Descrição
Exemplo de valor
Security Group Policy Name
Insira um nome de política de segurança.
Insira 1 a 63 caracteres. O valor deve começar com uma letra minúscula e não pode terminar com um hífen (-). Somente letras minúsculas, dígitos e hifens (-) são permitidos.
security-group
Associate Security Group
O grupo de segurança selecionado será vinculado à ENI ou à ENI suplementar da carga de trabalho selecionada. Um máximo de cinco grupos de segurança podem ser selecionados na lista suspensa. Você deve selecionar um ou vários grupos de segurança para criar um SecurityGroup.
Se nenhum grupo de segurança não tiver sido criado, clique em Create Security Group. Depois que o grupo de segurança for criado, clique no botão de atualizar.
AVISO:- Um máximo de cinco grupos de segurança podem ser selecionados.
- Passe o cursor em
ao lado do nome do grupo de segurança e você pode exibir detalhes sobre o grupo de segurança.
64566556-bd6f-48fb-b2c6-df8f44617953
5451f1b0-bd6f-48fb-b2c6-df8f44617953
- Depois de definir os parâmetros, clique em OK.
Depois que o grupo de segurança é criado, o sistema retorna automaticamente para a página de lista de grupo de segurança onde você pode ver o novo grupo de segurança.
Usar o kubectl
- Use o kubectl para se conectar ao cluster. Para mais detalhes, consulte Conexão a um cluster usando o kubectl.
- Crie um arquivo de descrição chamado securitygroup-demo.yaml.
vi securitygroup-demo.yaml
Por exemplo, crie o seguinte SecurityGroup para vincular todas as cargas de trabalho nginx com dois grupos de segurança 64566556-bd6f-48fb-b2c6-df8f44617953 e 5451f1b0-bd6f-48fb-b2c6-df8f44617953 que foram criados antecipadamente. Um exemplo é o seguinte:
apiVersion: crd.yangtse.cni/v1 kind: SecurityGroup metadata: name: demo namespace: default spec: podSelector: matchLabels: app: nginx securityGroups: - id: 64566556-bd6f-48fb-b2c6-df8f44617953 - id: 5451f1b0-bd6f-48fb-b2c6-df8f44617953Tabela 2 descreve os parâmetros no arquivo YAML.Tabela 2 Descrição Campo
Descrição
Obrigatório
apiVersion
Versão da API. O valor é crd.yangtse.cni/v1.
Sim
kind
Tipo do objeto a ser criado.
Sim
metadata
Definição de metadados do objeto de recurso.
Sim
name
Nome do SecurityGroup.
Sim
namespace
Nome do namespace.
Sim
spec
Descrição detalhada do SecurityGroup.
Sim
podSelector
Usado para definir a carga de trabalho a ser associada a grupos de segurança no SecurityGroup.
Sim
securityGroups
ID do grupo de segurança.
Sim
- Execute o seguinte comando para criar o SecurityGroup:
kubectl create -f securitygroup-demo.yaml
Se as informações a seguir forem exibidas, o SecurityGroup está sendo criada.
securitygroup.crd.yangtse.cni/demo created
- Execute o seguinte comando para exibir o SecurityGroup:
kubectl get sg
Se o nome do SecurityGroup criado for demo na saída do comando, o SecurityGroup será criado com sucesso.
NAME POD-SELECTOR AGE all-no map[matchLabels:map[app:nginx]] 4h1m s001test map[matchLabels:map[app:nginx]] 19m demo map[matchLabels:map[app:nginx]] 2m9s
