安全组规则
更新时间:2026-03-16
安全组是一种虚拟防火墙,为同一个私有网络内具有相同安全保护需求并相互信任的云服务器提供访问策略,具备状态检测和数据包过滤能力,用于在云端划分安全域,是重要的网络安全隔离手段。
您可以通过配置安全组规则控制安全组内云服务器的入流量和出流量。更多安全组介绍,请参见安全组。
使用须知
百舸计算AI平台对资源池使用安全组进行了优化,使用资源池时支持用户配置“自动创建默认安全组”和“使用已有安全组”,若无额外诉求,推荐使用默认安全组即可,无需关注规则细节,使用成本低;若有额外诉求,可参考默认安全组规则保障资源池内互通,降低因安全组规则使用问题影响资源池正常运行。
资源池默认安全组说明
资源池在创建时将会自动为 Master 节点和 Worker 节点分别创建一个安全组,其中 Master 节点的安全组名称是:{集群ID}-master-{随机ID}; Worker 节点的安全组名称是:{集群ID}-worker-{随机ID}。使用资源池时会额外创建一个 ENI 的安全组,名为{集群ID}-eni-{随机ID}。
Worker默认安全组规则
为保证资源池和节点本身功能的正常运作,确保资源池和节点之间的网络正常连通,百舸计算AI平台自动创建的 Worker 默认安全组规则为:
| 方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 说明 |
|---|---|---|---|---|---|---|
| 入站 | ALL | 容器网络 CIDR (VPC 网段) | 1-65535 | IPv4 | 允许 | 资源池内全部节点之间通信 |
| 入站 | ALL | 容器网络 CIDR | 1-65535 | IPv4 | 允许 | 全部 Pod 之间通信 |
| 入站 | ALL | 100.64.230.0/24 | 1-65535 | IPv4 | 允许 | 允许百舸监控、日志等子网与节点通信 |
| 入站 | TCP | ALL | 30000-32767 | IPv4 | 允许 | 开通资源池内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 入站 | UDP | ALL | 30000-32767 | IPv4 | 允许 | 开通资源池内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | 开通资源池对外全部通信 |
| 入站 | TCP | ALL | 22 | IPv4 | 允许 | 开通公网 SSH 登录端口 |
| 入站 | ICMP | ALL | 不涉及 | IPv4 | 允许 | 开通 Ping 操作 |
ENI默认安全组规则
为保证资源池节点上的Pod之间的网络正常连通,百舸AI计算平台自动创建的 ENI 默认安全组规则为:
| 方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 说明 |
|---|---|---|---|---|---|---|
| 入站 | ALL | 容器网络 CIDR (VPC 网段) | 1-65535 | IPv4 | 允许 | 资源池内全部节点之间通信 |
| 入站 | ALL | 容器网络 CIDR | 1-65535 | IPv4 | 允许 | 全部 Pod 之间通信 |
| 入站 | ALL | 100.64.230.0/24 | 1-65535 | IPv4 | 允许 | 允许百舸监控、日志等子网与节点通信 |
| 入站 | TCP | ALL | 30000-32767 | IPv4 | 允许 | 开通资源池内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 入站 | UDP | ALL | 30000-32767 | IPv4 | 允许 | 开通资源池内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | 开通资源池对外全部通信 |
| 入站 | TCP | ALL | 22 | IPv4 | 允许 | 开通公网 SSH 登录端口 |
| 入站 | ICMP | ALL | 不涉及 | IPv4 | 允许 | 开通 Ping 操作 |
Master默认安全组
为保证资源池和节点本身功能的正常运作,确保资源池和节点之间的网络正常连通,百舸AI计算平台自动创建的 Master 默认安全组规则为:
| 方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 说明 |
|---|---|---|---|---|---|---|
| 入站 | ALL | 容器网络 CIDR (VPC 网段) | 1-65535 | IPv4 | 允许 | 资源池内全部节点之间通信 |
| 入站 | ALL | 容器网络 CIDR | 1-65535 | IPv4 | 允许 | 全部 Pod 之间通信 |
| 入站 | ALL | 100.64.230.0/24 | 1-65535 | IPv4 | 允许 | 允许百舸监控、日志等子网与节点通信 |
| 入站 | TCP | ALL | 30000-32767 | IPv4 | 允许 | 开通资源池内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 入站 | UDP | ALL | 30000-32767 | IPv4 | 允许 | 开通资源池内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | 开通资源池对外全部通信 |
| 入站 | TCP | ALL | 22 | IPv4 | 允许 | 开通公网 SSH 登录端口 |
| 入站 | ICMP | ALL | 不涉及 | IPv4 | 允许 | 开通 Ping 操作 |