CCE 安全组
更新时间:2024-06-14
CCE 安全组说明
CCE 安全组体系已经完成升级改造,新版包含如下 4 个 CCE 安全组:
- CCE Master 默认安全组
- CCE Master 附加安全组
- CCE Node (Worker) 默认安全组
- CCE Node (Worker) 附加安全组
CCE 安全组使用原则如下:
(1) 默认安全组包含 CCE Master/Worker 正常运作所必须的安全组规则,强烈建议勾选 CCE Master/Worker 默认安全组,或者确保自行指定的安全组包含这些规则。
(2) 若需 CCE 集群支持公网访问,请勾选 CCE Master 附加安全组,或者确保自行指定的安全组包含其中与 apiserver 公网访问相关的规则。
(3) 若需 Worker 支持公网访问,请勾选 CCE Worker 附加安全组,或者确保自行指定的安全组包含其中与公网访问相关的规则。
(4) 若需 Worker 支持 IPv6,请勾选 CCE Worker 附加安全组,或者确保自行指定的安全组包含其中与 IPv6 相关的规则。
CCE 安全组规则
CCE Master 默认安全组规则
方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 备注 |
---|---|---|---|---|---|---|
入站 | ALL | 10.0.0.0/8 | 1-65535 | IPv4 | 允许 | CCE默认规则: 节点间内网通信 |
入站 | ALL | 172.16.0.0/12 | 1-65535 | IPv4 | 允许 | CCE默认规则: 节点间内网通信 |
入站 | ALL | 192.168.0.0/16 | 1-65535 | IPv4 | 允许 | CCE默认规则: 节点间内网通信 |
出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | CCE默认规则: 出向全通 |
CCE Master 附加安全组规则
方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 备注 |
---|---|---|---|---|---|---|
入站 | tcp | ALL | 6443 | IPv4 | 允许 | CCE可选规则: 开放 apiserver 公网访问 |
CCE Worker 默认安全组规则
方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 备注 |
---|---|---|---|---|---|---|
入站 | ALL | 10.0.0.0/8 | 1-65535 | IPv4 | 允许 | CCE默认规则: 节点间内网通信 |
入站 | ALL | 172.16.0.0/12 | 1-65535 | IPv4 | 允许 | CCE默认规则: 节点间内网通信 |
入站 | ALL | 192.168.0.0/16 | 1-65535 | IPv4 | 允许 | CCE默认规则: 节点间内网通信 |
入站 | ALL | 100.64.230.0/24 | 1-65535 | IPv4 | 允许 | CCE默认规则: 与隐藏子网节点内网通信 |
入站 | ALL | ALL | 30000-32768 | IPv4 | 允许 | CCE默认规则: 外部用户 K8s NodePort 默认范围 |
入站 | ALL | ALL | 8000-9000 | IPv4 | 允许 | CCE默认规则: 内部用户 K8s NodePort 默认范围 |
出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | CCE默认规则: 出向全通 |
CCE Worker 附加安全组规则
方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 备注 |
---|---|---|---|---|---|---|
入站 | tcp | ALL | 22 | IPv4 | 允许 | CCE可选规则: 公网 SSH 登录 |
入站 | icmp | ALL | 不涉及 | IPv4 | 允许 | CCE可选规则: 公网 ping 命令 |
入站 | ALL | VPC IPv6 CIDR | 1-65535 | IPv6 | 允许 | CCE可选规则: 节点内网 IPv6 互通 |
入站 | ALL | fc00::/7 | 1-65535 | IPv6 | 允许 | CCE可选规则: 容器网段互通, 容器 IPv6 地址网段 |
入站 | ALL | ALL | 30000-32768 | IPv6 | 允许 | CCE可选规则: 外部用户 K8s NodePort 默认范围 |
入站 | ALL | ALL | 8000-9000 | IPv6 | 允许 | CCE可选规则: 内部用户 K8s NodePort 默认范围 |
出站 | ALL | ALL | 1-65535 | IPv6 | 允许 | CCE可选规则: IPv6 出向全通 |