您可以在资产中心将K8s自建集群接入云安全中心进行统一管理。本文介绍如何接入K8s自建集群。

版本限制

仅云安全中心的旗舰版支持该功能,其他版本不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

限制条件

  • 您最多可接入10个K8s自建集群。
  • 自建K8s集群网络类型为VPC时,仅支持接入华东1(杭州)、华北2(北京)、华东2(上海)、华南1(深圳)和中国香港地域。
    说明 自建K8s集群网络类型为公网时,无地域限制。

前提条件

  • 已在服务器上搭建K8s集群。具体操作,请参见从零搭建K8s集群
  • 已安装Docker。具体操作,请参见安装Docker
  • 如果您的K8s集群是通过混合云的方式部署,且公网不可直接访问,那么您需要先配置流量转发规则,确保网络连通后再进行集群接入。

    指定一台ECS服务器,将其访问流量转发到第三方K8s集群API Server所在的IDC服务器上。

    例如:将执行转发任务的ECS服务器10.0.XX.XX中A端口的流量,转发至第三方K8s集群API Server所在的IDC服务器192.168.XX.XX的B端口。

    • CentOS 7命令
      • 使用firewallcmd:
        firewall-cmd --permanent --add-forward-port=port=<A端口>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<B端口>
      • 使用iptables:
        1. 开启端口转发
          # echo "1" 	> /proc/sys/net/ipv4/ip_forward
        2. 设置端口转发
          # iptables -t nat -A PREROUTING -p tcp --dport <A端口> -j DNAT --to-destination <192.168.XX.XX>:<B端口>
    • Windows命令
      netsh interface portproxy add v4tov4 listenport=<端口A> listenaddress=* connectaddress=<192.168.XX.XX	> connectport=<端口B> protocol=tcp

  • 如果您的集群设置了访问控制策略,请确保已将容器所在地域的地址池IP加入到了访问控制的白名单中。
    地域 公网IP 私网IP
    华东1(杭州) 121.41.35.192、121.41.39.7、121.41.39.39、121.41.39.153、121.41.38.32 100.104.177.0/26
    华东2(上海) 47.103.62.83、47.103.60.134、47.103.58.177、47.103.54.252、47.103.49.93 100.104.7.192/26
    华北1(青岛) 47.104.111.68 100.104.87.192/26
    华北2(北京) 123.57.55.56、123.57.55.21、123.57.55.18、123.57.55.7、123.57.55.6 100.104.20.128/26
    华北3(张家口) 39.99.229.195 100.104.187.64/26
    华北5(呼和浩特) 39.104.147.68 100.104.36.0/26
    华南1(深圳) 47.106.245.198、47.107.237.185、47.107.237.182、47.107.237.170、47.107.237.152 100.104.9.192/26
    中国香港(香港) 47.106.245.198、47.107.237.185、47.107.237.182、47.107.237.170、47.107.237.152 100.104.111.128/26
    亚太东北1(东京) 47.74.24.20 100.104.69.0/26
    亚太东南1(新加坡) 47.74.238.176、47.74.238.61、47.74.237.201、47.74.237.166、47.74.237.91 100.104.41.128/26
    美国西部1(硅谷) 47.254.39.224 100.104.145.64/26
    美国东部1(弗吉尼亚) 47.252.4.238 100.104.36.0/26
    德国(法兰克福) 47.254.158.71 172.16.0.0/20
    英国(伦敦) 8.208.14.12 172.16.0.0/20
    印度尼西亚(雅加达) 149.129.238.99 100.104.193.128/26

接入K8s自建集群

  1. 登录云安全中心控制台在左侧导航栏,选择资产中心 > 容器资产
  2. 容器资产页面的集群页签,单击自建集群接入
  3. 自建集群接入面板,单击自建集群接入,配置要接入的K8s自建集群的相关信息,然后单击生成命令
    配置项 说明
    集群名称 输入自建K8s集群的名称,例如:text-001。
    过期时间 选择自建K8s集群接入命令的过期时间。
    分组 选择集群接入后的分组(即选择集群所在服务器的分组)。
    服务商 选择集群所在服务器的服务商。
  4. 登录集群所在服务器,新建text-001.yaml文件,将生成的命令拷贝到该文件中保存,然后执行kubectl apply -f text-001.yaml命令,即可完成集群接入。
    说明 上述text-001.yamlkubectl apply -f text-001.yaml中的text-001为集群名称的示例。您在使用此功能时,请用您实际设置的集群名称替换text-001。
    完成K8s自建集群接入后,您可以在集群页签下集群列表中查看已接入集群的信息。