更新时间:2025-11-24 GMT+08:00
为Pod网卡配置自定义安全组
CCI 2.0支持为Pod(容器组)网卡配置自定义安全组。您可以在Pod的YAML文件中通过添加Annotation(注解)实现。
约束与限制
- 配置的安全组ID必须已存在且合法。
- Pod单网卡配置的安全组ID不能重复。
- Pod单网卡配置的安全组最多不能超过5个,多个安全组以逗号分隔。
- 配置的安全组规则必须放通Pod所在子网的ICMP规则,否则Pod无法启动。
- Pod网卡的安全组不支持更新。
Pod单网卡安全组配置
通过配置Pod的annotation(yangtse.io/security-group-ids)配置Pod单网卡安全组。
kind: Pod
metadata:
annotations:
yangtse.io/security-group-ids: 266b3179-d90d-4aae-b8c7-2996b6b44e1e,266b3179-d90d-4aae-b8c7-2996b6b44e1f # Pod安全组配置,多个安全组以逗号分隔
...
Pod多网卡安全组配置
- 场景一:通过配置Pod的annotation(k8s.v1.cni.cncf.io/networks)配置Pod多网卡安全组 。
指定security-group-ids 表示安全组配置。不可使用yangtse.io/security-group-ids 配置安全组。
kind: Pod metadata: annotations: # Pod网卡安全组配置,多个安全组以逗号分隔 k8s.v1.cni.cncf.io/networks: '[{"name":"default-network","interface":"eth0","security-group-ids":"40acb660-c100-4c94-8f40-0235e4e04511,266b3179-d90d-4aae-b8c7-2996b6b44e1e"},{"name":"second-network","interface":"eth1", "security-group-ids":"40acb660-c100-4c94-8f40-0235e4e04511"}]' - 场景二:通过配置Pod的annotation(yangtse.io/multi-eip-ids)配置Pod多网卡安全组。
kind: Pod metadata: annotations: yangtse.io/multi-eip-ids: 1234d-d90d-4aae-b8c7-xxx, 1234d-d90d-4aae-b8c7-yyy # 多个EIP配置 yangtse.io/security-group-ids: 266b3179-d90d-4aae-b8c7-2996b6b44e1e,266b3179-d90d-4aae-b8c7-2996b6b44e1f # Pod网卡安全组配置,多个安全组以逗号分隔 ...
