更新时间:2025-09-11 GMT+08:00
使用节点池配置为节点池上的Pod绑定默认的安全组
云原生网络2.0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可直接绑定安全组,CCE Turbo支持为节点池上的Pod配置默认的安全组。适用于以下场景:
- 节点池维度的访问控制:如果您的业务是按照节点池维度划分的,您可以采用此方案进行节点池维度的安全访问控制,请结合您的业务合理规划不同节点池上的Pod默认安全组的安全规则。
- 扩展单个CCE Turbo集群的Pod数规模:当前一个安全组最多关联5万张网卡,如果您单个CCE Turbo集群的Pod数会超过5万,可以为不同的节点池配置不同的安全组,相当于每个节点池都可以调度5万个Pod,从而扩展CCE Turbo集群最大可支持的Pod数。
如果为节点池上的Pod绑定默认的安全组,建议您按照节点池维度划分业务,结合您的业务配置联动的调度策略。否则可能出现工作负载调度到其他节点池后出现安全组不一致的问题。关于设置工作负载调度策略的详细步骤请参见设置节点亲和调度(nodeAffinity)。
约束与限制
- 只有新建的Pod才可使用新配置的安全组,存量的Pod需要重建Pod。
- 只有节点上新绑定的容器网卡支持绑定目标安全组。
