不同方法配置工作负载安全组的对比

在CCE Turbo集群中，Pod使用VPC的弹性网卡或辅助弹性网卡，可以直接绑定安全组。CCE Turbo提供了多维度的安全组绑定解决方案，您可以根据业务场景选择合适的配置方式。

为工作负载绑定安全组存在多种配置方式（如注解、安全组策略、节点池配置、容器网络配置），当您同时使用多种配置方式时，只生效优先级最高的配置方式（下表中优先级数字越小表示优先级越高）。

表1 不同方法配置工作负载安全组的对比
优先级	配置安全组的方式	使用场景及优势	使用约束
1	使用注解为Pod绑定安全组	适用于业务调试场景。支持将安全组追加到其他的配置方式中。	只有新建的Pod才可使用新配置的安全组，存量的Pod需要重建Pod。预热的容器网卡不支持绑定目标的安全组。
2	使用安全组策略为工作负载绑定安全组	作用于命名空间级别，需要关联命名空间下的工作负载。无需重建Pod，支持Pod安全组热更新。	预热的容器网卡不支持绑定目标的安全组。
3	使用节点池配置为节点池上的Pod绑定默认的安全组	按照节点池维度划分业务，可能需要您结合您的业务配置联动的调度策略。支持容器网卡提前预热时绑定上目标的安全组。	只有新建的Pod才可使用新配置的安全组，存量的Pod需要重建Pod。只有节点上新绑定的网卡支持绑定安全组。
4	使用容器网络配置为命名空间/工作负载绑定子网及安全组	作用于集群级别，支持关联多个命名空间。安全组跟子网可联动配置。	只有新建的Pod才可使用新配置的安全组，存量的Pod需要重建Pod。预热的容器网卡不支持绑定目标的安全组。
5	Turbo集群默认的ENI安全组（安全组规则详情请参见集群安全组规则配置）	默认使用场景，如您的集群有通用的安全加固诉求，可直接修改默认安全组里的安全组规则。预热的容器网卡支持绑定目标的安全组。	-

父主题：在CCE Turbo集群中为工作负载配置安全组

上一篇：在CCE Turbo集群中为工作负载配置安全组

下一篇：使用注解为Pod绑定安全组

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

云宝助手提问云社区提问

不同方法配置工作负载安全组的对比

相关文档

意见反馈

文档内容是否对您有帮助？