CCE 安全组
所有文档

          容器引擎 CCE

          CCE 安全组

          CCE 安全组说明

          CCE 安全组体系已经完成升级改造,新版包含如下 4 个 CCE 安全组 (具体所含规则见本文第 2 节):

          • CCE Master 默认安全组
          • CCE Master 附加安全组
          • CCE Node (Worker) 默认安全组
          • CCE Node (Worker) 附加安全组

          CCE 安全组使用原则如下:

          (1) 默认安全组包含 CCE Master/Worker 正常运作所必须的安全组规则,强烈建议勾选 CCE Master/Worker 默认安全组,或者确保自行指定的安全组包含这些规则。

          (2) 若需 CCE 集群支持公网访问,请勾选 CCE Master 附加安全组,或者确保自行指定的安全组包含其中与 apiserver 公网访问相关的规则。

          (3) 若需 Worker 支持公网访问,请勾选 CCE Worker 附加安全组,或者确保自行指定的安全组包含其中与公网访问相关的规则。

          (4) 若需 Worker 支持 IPv6,请勾选 CCE Worker 附加安全组,或者确保自行指定的安全组包含其中与 IPv6 相关的规则。


          CCE 安全组规则

          CCE Master 默认安全组规则

          方向 协议 网段 端口 IP 类型 策略 备注
          入站 ALL 10.0.0.0/8 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
          入站 ALL 172.16.0.0/12 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
          入站 ALL 192.168.0.0/16 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
          出站 ALL ALL 1-65535 IPv4 允许 CCE默认规则: 出向全通

          CCE Master 附加安全组规则

          方向 协议 网段 端口 IP 类型 策略 备注
          入站 tcp ALL 6443 IPv4 允许 CCE可选规则: 开放 apiserver 公网访问

          CCE Worker 默认安全组规则

          方向 协议 网段 端口 IP 类型 策略 备注
          入站 ALL 10.0.0.0/8 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
          入站 ALL 172.16.0.0/12 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
          入站 ALL 192.168.0.0/16 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
          入站 ALL 100.64.230.0/24 1-65535 IPv4 允许 CCE默认规则: 与隐藏子网节点内网通信
          入站 ALL ALL 30000-32768 IPv4 允许 CCE默认规则: 外部用户 K8s NodePort 默认范围
          入站 ALL ALL 8000-9000 IPv4 允许 CCE默认规则: 内部用户 K8s NodePort 默认范围
          出站 ALL ALL 1-65535 IPv4 允许 CCE默认规则: 出向全通

          CCE Worker 附加安全组规则

          方向 协议 网段 端口 IP 类型 策略 备注
          入站 tcp ALL 22 IPv4 允许 CCE可选规则: 公网 SSH 登录
          入站 icmp ALL 不涉及 IPv4 允许 CCE可选规则: 公网 ping 命令
          入站 ALL VPC IPv6 CIDR 1-65535 IPv6 允许 CCE可选规则: 节点内网 IPv6 互通
          入站 ALL fc00::/7 1-65535 IPv6 允许 CCE可选规则: 容器网段互通, 容器 IPv6 地址网段
          入站 ALL ALL 30000-32768 IPv6 允许 CCE可选规则: 外部用户 K8s NodePort 默认范围
          入站 ALL ALL 8000-9000 IPv6 允许 CCE可选规则: 内部用户 K8s NodePort 默认范围
          出站 ALL ALL 1-65535 IPv6 允许 CCE可选规则: IPv6 出向全通

          上一篇
          CCE 支持 GPUSharing 集群
          下一篇
          节点组管理