您可以在资产中心将K8s自建集群接入云安全中心进行统一管理。本文介绍如何接入K8s自建集群。
版本限制
限制条件
- 您最多可接入10个K8s自建集群。
- 自建K8s集群网络类型为VPC时,仅支持接入华东1(杭州)、华北2(北京)、华东2(上海)、华南1(深圳)和中国香港地域。
说明 自建K8s集群网络类型为公网时,无地域限制。
前提条件
- 已在服务器上搭建K8s集群。具体操作,请参见从零搭建K8s集群。
- 已安装Docker。具体操作,请参见安装Docker。
- 如果您的K8s集群是通过混合云的方式部署,且公网不可直接访问,那么您需要先配置流量转发规则,确保网络连通后再进行集群接入。
指定一台ECS服务器,将其访问流量转发到第三方K8s集群API Server所在的IDC服务器上。
例如:将执行转发任务的ECS服务器10.0.XX.XX中A端口的流量,转发至第三方K8s集群API Server所在的IDC服务器192.168.XX.XX的B端口。
- CentOS 7命令
- 使用firewallcmd:
firewall-cmd --permanent --add-forward-port=port=<A端口>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<B端口>
- 使用iptables:
- 开启端口转发
# echo "1" > /proc/sys/net/ipv4/ip_forward
- 设置端口转发
# iptables -t nat -A PREROUTING -p tcp --dport <A端口> -j DNAT --to-destination <192.168.XX.XX>:<B端口>
- 开启端口转发
- 使用firewallcmd:
- Windows命令
netsh interface portproxy add v4tov4 listenport=<端口A> listenaddress=* connectaddress=<192.168.XX.XX > connectport=<端口B> protocol=tcp
- CentOS 7命令
- 如果您的集群设置了访问控制策略,请确保已将容器所在地域的地址池IP加入到了访问控制的白名单中。
地域 公网IP 私网IP 华东1(杭州) 121.41.35.192、121.41.39.7、121.41.39.39、121.41.39.153、121.41.38.32 100.104.177.0/26 华东2(上海) 47.103.62.83、47.103.60.134、47.103.58.177、47.103.54.252、47.103.49.93 100.104.7.192/26 华北1(青岛) 47.104.111.68 100.104.87.192/26 华北2(北京) 123.57.55.56、123.57.55.21、123.57.55.18、123.57.55.7、123.57.55.6 100.104.20.128/26 华北3(张家口) 39.99.229.195 100.104.187.64/26 华北5(呼和浩特) 39.104.147.68 100.104.36.0/26 华南1(深圳) 47.106.245.198、47.107.237.185、47.107.237.182、47.107.237.170、47.107.237.152 100.104.9.192/26 中国香港(香港) 47.106.245.198、47.107.237.185、47.107.237.182、47.107.237.170、47.107.237.152 100.104.111.128/26 亚太东北1(东京) 47.74.24.20 100.104.69.0/26 亚太东南1(新加坡) 47.74.238.176、47.74.238.61、47.74.237.201、47.74.237.166、47.74.237.91 100.104.41.128/26 美国西部1(硅谷) 47.254.39.224 100.104.145.64/26 美国东部1(弗吉尼亚) 47.252.4.238 100.104.36.0/26 德国(法兰克福) 47.254.158.71 172.16.0.0/20 英国(伦敦) 8.208.14.12 172.16.0.0/20 印度尼西亚(雅加达) 149.129.238.99 100.104.193.128/26