配置集群API Server的访问控制策略

ACK集群创建时会为API Server自动创建一个私网CLB实例,作为集群API Server的内网连接端点。如需精准地访问并控制API Server,您可以对该私网CLB实例的6443端口监听(Listener)配置访问控制,即设置访问白名单或者黑名单。本文介绍如何通过配置私网CLB的监听实现API Server的访问控制。

背景信息

负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制。更多信息,请参见访问控制

如您希望配置公网CLB实例的监听,可以通过添加公网的IP地址实现访问控制。步骤与下文类似。

操作步骤

您可以针对不同的监听设置访问白名单或黑名单,只允许特定IP访问或限制某些特定IP访问。

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择集群信息

  3. 集群信息页面,单击基本信息页签,然后在集群信息区域,找到并单击API Server内网连接端点右侧的设置访问控制

  4. 在负载均衡控制台跳转的面板中,打开启用访问控制开关,然后配置访问控制方式和访问控制策略组,然后单击确定

    在开启访问控制之前,您需要创建访问控制策略。关于如何创建访问控制策略组,请参见创建访问控制策略组。关于如何启用访问控制,请参见开启访问控制

    重要

    访问控制策略中,您必须放行如下网段。

    • 容器服务 Kubernetes 版管控的网段100.104.0.0/16。

    • 集群专有网络VPC的主网段及附加网段(如有),或集群节点所在的交换机vSwitch网段。

    • 其他需访问API Server连接端点的客户端出口网段。

    • ACK Edge集群还需放行边缘节点出口网段。

    • ACK灵骏集群还需放行灵骏VPD网段。

    配置访问控制策略白名单时,务必将以上放行网段添加到白名单;配置访问控制策略黑名单时,请勿将以上放行网段添加到黑名单。