集群安全组规则配置
CCE作为通用的容器平台,安全组规则的设置适用于通用场景。集群在创建时将会自动为Master节点和Node节点分别创建一个安全组,其中Master节点的安全组名称是:{集群名}-cce-control-{随机ID};Node节点的安全组名称是:{集群名}-cce-node-{随机ID}。使用CCE Turbo集群时会额外创建一个ENI的安全组,名为{集群名}-cce-eni-{随机ID}。
用户可根据安全需求,登录CCE控制台,单击服务列表中的“网络 > 虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”,找到集群对应的安全组规则进行修改和加固。
如集群在创建时需要指定节点安全组,请参考集群自动创建的默认安全组规则放通指定端口,以保证集群中的正常网络通信。
不同网络模型的默认安全组规则如下:
- 安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作。如需修改安全组规则,请尽量避免对CCE运行依赖的端口规则进行修改。
- 在集群中添加新的安全组规则时,需要确保新规则与原有规则不会发生冲突,否则可能导致原有规则失效,影响集群正常运行。
VPC网络模型安全组规则
Node节点安全组
集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表1。
方向 |
端口 |
默认源地址 |
说明 |
是否可修改 |
修改建议 |
---|---|---|---|---|---|
入方向规则 |
UDP:全部 |
VPC网段 |
Node节点之间互访、Node节点与Master节点互访。 |
不可修改 |
不涉及 |
TCP:全部 |
|||||
ICMP:全部 |
Master节点安全组 |
Master节点访问Node节点。 |
不可修改 |
不涉及 |
|
TCP:30000-32767 |
所有IP地址(0.0.0.0/0) |
集群NodePort服务默认访问端口范围。 |
可修改 |
端口需对VPC网段、容器网段和ELB的网段放通。 |
|
UDP:30000-32767 |
|||||
全部 |
容器网段 |
允许集群中的容器访问节点。 |
不可修改 |
不涉及 |
|
全部 |
Node节点安全组 |
限制Node节点安全组外的访问,但对于Node节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
TCP:22 |
所有IP地址(0.0.0.0/0) |
允许SSH远程连接Linux弹性云服务器。 |
建议修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通,通常情况下不建议修改。 |
可修改 |
如需加固出方向规则,请注意指定端口需要放通,详情请参见安全组出方向规则加固建议。 |
Master节点安全组
集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表2。
方向 |
端口 |
默认源地址 |
说明 |
是否支持修改 |
修改建议 |
---|---|---|---|---|---|
入方向规则 |
TCP:5444 |
VPC网段 |
kube-apiserver服务端口,提供K8s资源的生命周期管理。 |
不可修改 |
不涉及 |
TCP:5444 |
容器网段 |
||||
TCP:9443 |
VPC网段 |
Node节点网络插件访问Master节点。 |
不可修改 |
不涉及 |
|
TCP:5443 |
所有IP地址(0.0.0.0/0) |
Master的kube-apiserver的监听端口。 |
建议修改 |
端口需保留对VPC网段、容器网段和托管网格控制面网段放通。
说明:
如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 |
|
TCP:8445 |
VPC网段 |
Node节点存储插件访问Master节点。 |
不可修改 |
不涉及 |
|
全部 |
Master节点安全组 |
限制Master节点安全组外的访问,但对于Master节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通。 |
不可修改 |
不涉及 |
容器隧道网络模型安全组规则
Node节点安全组
集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表3。
方向 |
端口 |
默认源地址 |
说明 |
是否可修改 |
修改建议 |
---|---|---|---|---|---|
入方向规则 |
UDP:4789 |
所有IP地址(0.0.0.0/0) |
容器间网络互访。 |
不可修改 |
不涉及 |
TCP:10250 |
Master节点网段 |
Master节点主动访问Node节点的kubelet(如执行kubectl exec {pod})。 |
不可修改 |
不涉及 |
|
TCP:30000-32767 |
所有IP地址(0.0.0.0/0) |
集群NodePort服务默认访问端口范围。 |
可修改 |
端口需对VPC网段、容器网段和ELB的网段放通。 |
|
UDP:30000-32767 |
|||||
TCP:22 |
所有IP地址(0.0.0.0/0) |
允许SSH远程连接Linux弹性云服务器。 |
建议修改 |
不涉及 |
|
全部 |
Node节点安全组 |
限制Node节点安全组外的访问,但对于Node节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通,通常情况下不建议修改。 |
可修改 |
如需加固出方向规则,请注意指定端口需要放通,详情请参见安全组出方向规则加固建议。 |
Master节点安全组
集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表4。
方向 |
端口 |
默认源地址 |
说明 |
是否支持修改 |
修改建议 |
---|---|---|---|---|---|
入方向规则 |
UDP:4789 |
所有IP地址(0.0.0.0/0) |
容器间网络互访。 |
不可修改 |
不涉及 |
TCP:5444 |
VPC网段 |
kube-apiserver服务端口,提供K8s资源的生命周期管理。 |
不可修改 |
不涉及 |
|
TCP:5444 |
容器网段 |
||||
TCP:9443 |
VPC网段 |
Node节点网络插件访问Master节点。 |
不可修改 |
不涉及 |
|
TCP:5443 |
所有IP地址(0.0.0.0/0) |
Master的kube-apiserver的监听端口。 |
建议修改 |
端口需保留对VPC网段、容器网段和托管网格控制面网段放通。
说明:
如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 |
|
TCP:8445 |
VPC网段 |
Node节点存储插件访问Master节点。 |
不可修改 |
不涉及 |
|
全部 |
Master节点安全组 |
限制Master节点安全组外的访问,但对于Master节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通。 |
不可修改 |
不涉及 |
云原生网络2.0(CCE Turbo集群)安全组规则
Node节点安全组
集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表5。
方向 |
端口 |
默认源地址 |
说明 |
是否可修改 |
修改建议 |
---|---|---|---|---|---|
入方向规则 |
TCP:10250 |
Master节点网段 |
Master节点主动访问Node节点的kubelet(如执行kubectl exec {pod})。 |
不可修改 |
不涉及 |
TCP:30000-32767 |
所有IP地址(0.0.0.0/0) |
集群NodePort服务默认访问端口范围。 |
可修改 |
端口需对VPC网段、容器网段和ELB的网段放通。 |
|
UDP:30000-32767 |
|||||
TCP:22 |
所有IP地址(0.0.0.0/0) |
允许SSH远程连接Linux弹性云服务器。 |
建议修改 |
不涉及 |
|
全部 |
Node节点安全组 |
限制Node节点安全组外的访问,但对于Node节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
全部 |
容器子网网段 |
允许集群中的容器访问节点。 |
不可修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通,通常情况下不建议修改。 |
可修改 |
如需加固出方向规则,请注意指定端口需要放通,详情请参见安全组出方向规则加固建议。 |
Master节点安全组
集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表6。
方向 |
端口 |
默认源地址 |
说明 |
是否支持修改 |
修改建议 |
---|---|---|---|---|---|
入方向规则 |
TCP:5444 |
所有IP地址(0.0.0.0/0) |
kube-apiserver服务端口,提供K8s资源的生命周期管理。 |
不可修改 |
不涉及 |
TCP:5444 |
VPC网段 |
不可修改 |
不涉及 |
||
TCP:9443 |
VPC网段 |
Node节点网络插件访问Master节点。 |
不可修改 |
不涉及 |
|
TCP:5443 |
所有IP地址(0.0.0.0/0) |
Master的kube-apiserver的监听端口。 |
建议修改 |
端口需保留对VPC网段、容器网段和托管网格控制面网段放通。
说明:
如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 |
|
TCP:8445 |
VPC网段 |
Node节点存储插件访问Master节点。 |
不可修改 |
不涉及 |
|
全部 |
Master节点安全组 |
限制Master节点安全组外的访问,但对于Master节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
全部 |
容器子网网段 |
属于容器子网网段的源地址需全部放通。 |
不可修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通。 |
不可修改 |
不涉及 |
ENI安全组
CCE Turbo集群会额外创建名为{集群名}-cce-eni-{随机ID}的安全组,默认为集群中的容器绑定该安全组,默认端口说明请参见表7。
安全组出方向规则加固建议
对于出方向规则,CCE创建的安全组默认全部放通,通常情况下不建议修改。如需加固出方向规则,请注意如下端口需要放通。
端口 |
放通地址段 |
说明 |
---|---|---|
UDP:53 |
子网的DNS服务器 |
用于域名解析。 |
UDP:4789(仅容器隧道网络模型的集群需要) |
所有IP地址 |
容器间网络互访。 |
TCP:5443 |
Master节点网段 |
Master的kube-apiserver的监听端口。 |
TCP:5444 |
VPC网段、容器网段 |
kube-apiserver服务端口,提供K8s资源的生命周期管理。 |
TCP:6443 |
Master节点网段 |
- |
TCP:8445 |
VPC网段 |
Node节点存储插件访问Master节点。 |
TCP:9443 |
VPC网段 |
Node节点网络插件访问Master节点。 |
所有端口 |
198.19.128.0/17网段 |
访问VPCEP服务。 |
UDP:123 |
100.125.0.0/16网段 |
Node节点访问内网NTP服务器端口。 |
TCP:443 |
100.125.0.0/16网段 |
Node节点访问内网OBS端口用于拉取安装包。 |
TCP:6443 |
100.125.0.0/16网段 |
Node节点上报节点安装成功。 |