Service配置黑名单/白名单访问策略

前提条件

• 已创建Kubernetes集群，且集群版本满足以下要求：
  • v1.23集群：v1.23.12-r0及以上版本
  • v1.25集群：v1.25.7-r0及以上版本
  • v1.27集群：v1.27.4-r0及以上版本
  • v1.28集群：v1.28.2-r0及以上版本
  • 其他更高版本的集群
• 已在ELB控制台创建一个IP地址组，详情请参见创建IP地址组。

通过控制台设置

1. 登录CCE控制台，单击集群名称进入集群。
2. 选择左侧导航栏的“服务”，在右侧选择“服务”页签，单击右上角“创建服务”。
3. 设置Service参数。
   • Service名称：自定义Service名称，例如service-acl。
   • 访问类型：选择“负载均衡”类型。
   • 服务亲和：您可以根据需求选择“集群级别”或“节点级别”。二者差异说明请参见服务亲和（externalTrafficPolicy）。
   • 选择器：添加标签，Service根据标签选择Pod，填写后单击“确认添加”。也可以引用已有工作负载的标签，单击“引用负载标签”，在弹出的窗口中选择负载，然后单击“确定”。
   • 负载均衡器：

     选择对接的ELB实例，仅支持与集群在同一个VPC下的ELB实例。如果没有可选的ELB实例，请单击“创建负载均衡器”跳转到ELB控制台创建。或者选择“自动创建”一个ELB实例，配置参数请参见表1。

   • 健康检查：默认为“全局检查”，您可根据需求进行设置。
   • 端口配置：
     • 协议：请根据业务的协议类型选择。
     • 服务端口：Service使用的端口，端口范围为1-65535。
     • 容器端口：工作负载程序实际监听的端口，需用户确定。例如nginx默认使用80端口。
   • 访问控制：
     • 允许所有IP访问：不设置访问控制。
     • 白名单：仅所选IP地址组可以访问ELB地址。
     • 黑名单：所选IP地址组无法访问ELB地址。

4. 配置完成后，单击“确定”。

通过kubectl命令行设置

apiVersion: v1 
kind: Service 
metadata: 
  name: nginx
  annotations:
    kubernetes.io/elb.id: <your_elb_id>                    # ELB ID，替换为实际值
    kubernetes.io/elb.class: performance                   # 负载均衡器类型
    kubernetes.io/elb.acl-id: <your_acl_id>               # ELB的IP地址组ID
    kubernetes.io/elb.acl-status: 'on'                  # 开启访问控制
    kubernetes.io/elb.acl-type: 'white'                   # 白名单控制
spec:
  selector: 
     app: nginx
  ports: 
  - name: service0 
    port: 80
    protocol: TCP 
    targetPort: 80
  type: LoadBalancer