配置集群API Server的访问控制策略

ACS集群创建时会为API Server自动创建一个私网SLB实例,作为集群API Server的内网连接端点。如需精准地访问并控制API Server,您可以对该私网SLB实例的6443端口监听(Listener)配置访问控制,即设置访问白名单或者黑名单。本文介绍如何通过配置私网SLB的监听实现API Server的访问控制。

背景信息

负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制,更多信息请参见访问控制

如您希望配置公网SLB实例的监听,可以通过添加公网的IP地址实现访问控制。

操作步骤

您可以针对不同的监听设置访问白名单或黑名单,只允许特定IP访问或限制某些特定IP访问。

  1. 登录容器计算服务管理控制台,在左侧导航栏选择集群

  2. 集群页面,单击目标集群名称,然后在左侧导航栏,选择集群信息

  3. 集群信息页面,单击基本信息页签,然后在集群信息区域,找到并单击API Server 内网连接端点右侧的设置访问控制,跳转到负载均衡实例的访问控制配置页面。

  4. 打开启用访问控制开关,配置访问控制方式和访问控制策略组,然后单击确定

    在开启访问控制前,您需要创建访问控制策略。关于如何创建访问控制策略组,请参见创建访问控制策略组。关于如何启用访问控制,请参见开启访问控制

    重要
    • 在配置白名单时,将容器计算服务ACS管控的IP段100.104.0.0/16和节点所在的vSwitch网段加入白名单中。

    • 在配置黑名单时,请勿将容器计算服务ACS管控的IP段100.104.0.0/16和节点所在的vSwitch网段加入黑名单中。