配置集群API Server的访问控制策略
ACS集群创建时会为API Server自动创建一个私网SLB实例,作为集群API Server的内网连接端点。如需精准地访问并控制API Server,您可以对该私网SLB实例的6443端口监听(Listener)配置访问控制,即设置访问白名单或者黑名单。本文介绍如何通过配置私网SLB的监听实现API Server的访问控制。
背景信息
负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制,更多信息请参见访问控制。
如您希望配置公网SLB实例的监听,可以通过添加公网的IP地址实现访问控制。
操作步骤
您可以针对不同的监听设置访问白名单或黑名单,只允许特定IP访问或限制某些特定IP访问。
登录容器计算服务管理控制台,在左侧导航栏选择集群。
在集群页面,单击目标集群名称,然后在左侧导航栏,选择集群信息。
在集群信息页面,单击基本信息页签,然后在集群信息区域,找到并单击API Server 内网连接端点右侧的设置访问控制。
在负载均衡控制台跳转的面板中,打开启用访问控制开关,配置访问控制方式和访问控制策略组,然后单击确定。
在开启访问控制前,您需要创建访问控制策略。关于如何创建访问控制策略组,请参见创建访问控制策略组。关于如何启用访问控制,请参见开启访问控制。
重要当配置白名单时,需将容器计算服务ACS管控的IP段100.104.0.0/16和节点所在的vSwitch网段加入白名单中。
当配置黑名单时,勿将容器计算服务ACS管控的IP段100.104.0.0/16和节点所在的vSwitch网段加入黑名单中。