不同方法配置工作负载安全组的对比

在CCE Turbo集群中，Pod使用VPC的弹性网卡或辅助弹性网卡，可以直接绑定安全组。CCE Turbo提供了多维度的安全组绑定解决方案，您可以根据业务场景选择合适的配置方式。

当您同时使用多种安全组配置方式时，优先级较高的配置方式将生效（下表中优先级数字越小表示优先级越高）。

表1 不同方法配置工作负载安全组的对比
优先级	配置安全组的方式	使用场景及优势	使用约束
1	使用注解为Pod绑定安全组	适用于业务调试场景。支持将安全组追加到其他的配置方式中。	只有新建的Pod才可使用新配置的安全组，存量的Pod需要重建Pod。预热的容器网卡不支持绑定目标的安全组。
2	使用安全组策略为工作负载绑定安全组	作用于命名空间级别，需要关联命名空间下的工作负载。无需重建Pod，支持Pod安全组热更新。	预热的容器网卡不支持绑定目标的安全组。
3	使用节点池配置为节点池上的Pod绑定默认的安全组	按照节点池维度划分业务，可能需要您结合您的业务配置联动的调度策略。支持容器网卡提前预热时绑定上目标的安全组。	只有新建的Pod才可使用新配置的安全组，存量的Pod需要重建Pod。只有节点上新绑定的网卡支持绑定安全组。
4	使用容器网络配置为命名空间/工作负载绑定子网及安全组	作用于集群级别，支持关联多个命名空间。安全组跟子网可联动配置。	只有新建的Pod才可使用新配置的安全组，存量的Pod需要重建Pod。预热的容器网卡不支持绑定目标的安全组。
5	Turbo集群默认的ENI安全组（安全组规则详情请参见集群安全组规则配置）	默认使用场景，如您的集群有通用的安全加固诉求，可直接修改默认安全组里的安全组规则。预热的容器网卡支持绑定目标的安全组。	-