容器引擎CCE

    CCE 默认安全组

    CCE 默认安全组

    CCE 默认安全组包含:1) CCE Master 默认安全组规则; 2) CCE Worker 默认安全组规则

    CCE Master 默认安全组规则

    入站规则

    协议 来源 端口 IP 类型 策略 备注
    tcp 10.0.0.0/8 1-65535 IPv4 允许 节点间内网通信
    tcp 172.16.0.0/12 1-65535 IPv4 允许 节点间内网通信
    tcp 192.168.0.0/16 1-65535 IPv4 允许 节点间内网通信
    tcp ALL 6443 IPv4 允许 API Server 访问
    tcp ALL 22 IPv4 允许 SSH 登录
    tcp 100.79.8.0/21 9001-9005 IPv4 允许 Master 节点监控
    tcp 100.79.8.0/21 10250-10252 IPv4 允许 Master 节点监控

    出站规则

    协议 目的 端口 IP 类型 策略 备注
    ALL ALL 1-65535 IPv4 允许

    CCE Worker 默认安全组规则

    入站规则

    协议 来源 端口 IP 类型 策略 备注
    ALL 10.0.0.0/8 1-65535 IPv4 允许 节点间内网通信
    ALL 172.16.0.0/12 1-65535 IPv4 允许 节点间内网通信
    ALL 192.168.0.0/16 1-65535 IPv4 允许 节点间内网通信
    ALL 100.64.230.0/24 1-65535 IPv4 允许 托管 Master 的网段,与托管 Master 通信
    tcp ALL 22 IPv4 允许 SSH 登录
    icmp ALL 不涉及 IPv4 允许 ping 命令
    tcp ALL 30000-32768 IPv4 允许 外部用户,K8s node port 默认范围
    udp ALL 30000-32768 IPv4 允许 外部用户,K8s node port 默认范围
    tcp ALL 8000-9000 IPv4 允许 内部用户,K8s node port 默认范围
    udp ALL 8000-9000 IPv4 允许 内部用户,K8s node port 默认范围
    tcp CCE服务所在网段 9101 IPv4 允许 Worker 节点监控
    tcp CCE服务所在网段 9256 IPv4 允许 Worker 节点监控
    tcp CCE服务所在网段 10247 IPv4 允许 Worker 节点监控
    tcp CCE服务所在网段 10249 IPv4 允许 Worker 节点监控
    ALL fc00::/7 1-65535 IPv6 允许 容器网段互通,容器的 IPv6 地址在 fc00::/7 中选取
    tcp ALL 30000-32768 IPv6 允许 外部用户,K8s node port 默认范围
    udp ALL 30000-32768 IPv6 允许 外部用户,K8s node port 默认范围
    tcp ALL 8000-9000 IPv6 允许 内部用户,K8s node port 默认范围
    udp ALL 8000-9000 IPv6 允许 内部用户,K8s node port 默认范围
    ALL VPC IPv6 CIDR 1-65535 IPv6 允许 节点互通

    出站规则

    协议 目的 端口 IP 类型 策略 备注
    ALL ALL 1-65535 IPv4 允许
    ALL ALL 1-65535 IPv6 允许 IPv6 VPC 才会添加
    上一篇
    自动扩缩容常见问题
    下一篇
    集群管理常见问题