集群安全组规则
Autopilot集群在创建时将会自动创建两个安全组,其中Master节点的安全组名称是:{集群名}-cce-control-{随机ID};ENI的安全组的名称是:{集群名}-cce-eni-{随机ID}。
用户可根据安全需求,登录CCE控制台,单击服务列表中的“网络 > 虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”,找到集群对应的安全组规则进行修改和加固。
- 安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作。如需修改安全组规则,请尽量避免对CCE运行依赖的端口规则进行修改。
- 在集群中添加新的安全组规则时,需要确保新规则与原有规则不会发生冲突,否则可能导致原有规则失效,影响集群正常运行。
Master节点安全组
集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表1。
ENI安全组
Autopilot集群会创建名为{集群名}-cce-eni-{随机ID}的ENI安全组,默认为集群中的容器绑定该安全组,默认端口说明请参见表2。
方向 |
端口 |
默认源地址 |
说明 |
是否可修改 |
修改建议 |
|---|---|---|---|---|---|
入方向规则 |
全部 |
本安全组 |
属于本安全组的源地址需全部放通。 |
不可修改 |
不涉及 |
VPC网段 |
属于VPC网段的源地址需全部放通。 |
不可修改 |
不涉及 |
||
Master节点网段 |
Master节点主动访问Node节点的kubelet(如执行kubectl exec {pod})。 |
不可修改 |
不涉及 |
||
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通。 |
可以修改 |
如需加固出方向规则,请注意指定端口需要放通,详情请参见ENI安全组出方向规则加固建议。 |
ENI安全组出方向规则加固建议
对于出方向规则,CCE创建的ENI安全组默认全部放通,通常情况下不建议修改。如需加固出方向规则,请注意如下端口需要放通。
端口 |
放通地址段 |
说明 |
|---|---|---|
所有端口 |
本安全组 |
属于本安全组的目的地址需全部放通,容器间网络互访。 |
TCP:5443 |
VPC网段 |
kube-apiserver服务端口,提供K8s资源的生命周期管理。 |
TCP:443 |
100.125.0.0/16网段 |
访问OBS端口或者SWR端口,拉取镜像。 |
UDP:53 |
100.125.0.0/16网段 |
用于域名解析。 |
TCP:443 |
VPC网段 |
通过SWR终端节点,拉取镜像。 |
所有端口 |
198.19.128.0/17网段 |
访问VPCEP服务。 |
TCP:9443 |
VPC网段 |
Node节点网络插件访问Master节点。 |
所有端口 |
198.19.128.0/17网段 |
访问VPCEP服务。 |
