CCE 安全组
更新时间:2024-11-12
安全组是一种虚拟防火墙,为同一个私有网络内具有相同安全保护需求并相互信任的云服务器提供访问策略,具备状态检测和数据包过滤能力,用于在云端划分安全域,是重要的网络安全隔离手段。
您可以通过配置安全组规则控制安全组内云服务器的入流量和出流量。更多安全组介绍,请参见安全组。
使用须知
容器引擎CCE对集群使用安全组进行了优化,使用集群时支持用户配置“自动创建默认安全组”和“使用已有安全组”,若无额外诉求,推荐使用默认安全组即可,无需关注规则细节,使用成本低;若有额外诉求,可参考默认安全组规则保障集群内互通,降低因安全组规则使用问题导致集群访问不同,影响集群正常运行。
CCE默认安全组说明
CCE作为通用的容器平台,安全组规则的设置适用于通用场景。集群在创建时将会自动为Master节点和Worker节点分别创建一个安全组,其中Master节点的安全组名称是:{集群ID}-master-{随机ID};Worker节点的安全组名称是:{集群ID}-worker-{随机ID}。使用VPC-ENI容器网络模式的集群时会额外创建一个ENI的安全组,名为{集群ID}-eni-{随机ID}。
Worker默认安全组规则
为保证集群和节点本身功能的正常运作,确保集群和节点之间的网络正常连通,CCE自动创建的Worker默认安全组规则为:
| 方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 说明 |
|---|---|---|---|---|---|---|
| 入站 | ALL | 集群网络 CIDR (VPC网段) | 1-65535 | IPv4 | 允许 | 开通集群网络内全部节点之间通信 |
| 入站 | ALL | 容器网络 CIDR | 1-65535 | IPv4 | 允许 | 开通集群容器网络内全部 Pod 之间通信(容器网络模式为“VPC路由”) |
| 入站 | ALL | 100.64.230.0/24 | 1-65535 | IPv4 | 允许 | 开通集群与CCE控制面子网之间通信 |
| 入站 | TCP | ALL | NodePort 范围 | IPv4 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 入站 | UDP | ALL | NodePort 范围 | IPv4 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | 开通集群对外全部通信 |
| 入站 | TCP | ALL | 22 | IPv4 | 允许 | 开通公网 SSH 登录端口 |
| 入站 | ICMP | ALL | 不涉及 | IPv4 | 允许 | 开通 Ping 操作 |
ENI默认安全组规则
“VPC-ENI”容器网络模式下,为保证集群节点上的Pod之间的网络正常连通,CCE自动创建的ENI默认安全组规则为:
| 方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 说明 |
|---|---|---|---|---|---|---|
| 入站 | ALL | 集群网络 CIDR (VPC网段) | 1-65535 | IPv4 | 允许 | 开通集群网络内全部节点之间通信 |
| 入站 | ALL | 100.64.230.0/24 | 1-65535 | IPv4 | 允许 | 开通集群与CCE控制面子网之间通信 |
| 入站 | TCP | ALL | NodePort 范围 | IPv4 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 入站 | UDP | ALL | NodePort 范围 | IPv4 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | 开通集群对外全部通信 |
| 入站 | TCP | ALL | 22 | IPv4 | 允许 | 开通公网 SSH 登录端口 |
| 入站 | ICMP | ALL | 不涉及 | IPv4 | 允许 | 开通 Ping 操作 |
Master默认安全组
为保证集群和节点本身功能的正常运作,确保集群和节点之间的网络正常连通,CCE自动创建的Master默认安全组规则为:
| 方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 说明 |
|---|---|---|---|---|---|---|
| 入站 | ALL | 集群网络 CIDR (VPC网段) | 1-65535 | IPv4 | 允许 | 开通集群网络内全部节点之间通信 |
| 入站 | ALL | 容器网络 CIDR | 1-65535 | IPv4 | 允许 | 开通集群容器网络内全部 Pod 之间通信(容器网络模式为“VPC路由”) |
| 入站 | ALL | 100.64.230.0/24 | 1-65535 | IPv4 | 允许 | 开通集群与CCE控制面子网之间通信 |
| 入站 | TCP | ALL | NodePort 范围 | IPv4 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 入站 | UDP | ALL | NodePort 范围 | IPv4 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 TCP 协议通信 |
| 出站 | ALL | ALL | 1-65535 | IPv4 | 允许 | 开通集群对外全部通信 |
| 入站 | TCP | ALL | 22 | IPv4 | 允许 | 开通公网 SSH 登录端口 |
| 入站 | ICMP | ALL | 不涉及 | IPv4 | 允许 | 开通 Ping 操作 |
| 入站 | TCP | ALL | 6443 | IPv4 | 允许 | 开放 apiserver 公网访问 |
IPv6集群默认安全组规则
若集群开启IPv6双栈网络,则集群会额外创建以下安全组规则:
| 方向 | 协议 | 网段 | 端口 | IP 类型 | 策略 | 说明 |
|---|---|---|---|---|---|---|
| 入站 | ALL | 集群网络 IPv6 CIDR (VPC网段) | 1-65535 | IPv6 | 允许 | 开通集群网络内全部节点之间基于 IPv6 地址通信 |
| 入站 | TCP | ALL | NodePort 范围 | IPv6 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 TCP 协议及 IPv6 地址通信 |
| 入站 | UDP | ALL | NodePort 范围 | IPv6 | 允许 | 开通集群内全部 NodePort 类型 Service 之间基于 UDP 协议及 IPv6 地址通信 |
| 出站 | ALL | ALL | 1-65535 | IPv6 | 允许 | 开通集群对外全部通信 |