创建集群或节点池指定已有安全组时,系统默认不会为安全组配置额外的访问规则,请自行管理安全组规则。本文介绍如何配置普通安全组和企业安全组的集群访问规则。

您可以通过添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。更多信息,请参见添加安全组规则

普通安全组

入方向
集群访问规则 协议 端口 授权对象
推荐范围 ICMP -1/-1(不限制端口) 0.0.0.0/0
所有协议 -1/-1(不限制端口)
  • 集群默认安全组ID
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
最小范围 所有协议 53/53(DNS)
  • 集群默认安全组ID
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
ICMP -1/-1(不限制端口)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(Webhook)
所有协议

所有应用或组件期望被访问的端口

所有应用或组件期望被访问的来源地址或者来源安全组

出方向
集群访问规则 协议 端口 授权对象
推荐范围 所有协议 -1/-1(不限制端口) 0.0.0.0/0
最小范围 所有协议 -1/-1(不限制端口) 100.96.0.0/10 (云产品网段)
所有协议 53/53(DNS)
  • 集群APIServer SLB地址
  • 集群默认安全组ID
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(APIServer)
  • 6443(APIServer)
所有协议 所有应用或组件期望访问的端口 所有应用或组件期望访问的目的地址或者目的安全组

企业安全组

入方向
集群访问规则 协议 端口 授权对象
推荐范围 ICMP -1/-1(不限制端口) 0.0.0.0/0
所有协议 -1/-1(不限制端口)
  • 集群所属的VPC网段
  • 集群所属的附加VPC网段
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
最小范围 所有协议 53/53(DNS)
  • 集群内所有关联的vSwitch网段,包括Node vSwitch和Pod vSwitch
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
ICMP -1/-1(不限制端口)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(Webhook)
所有协议 所有应用或组件期望被访问的端口 所有应用或组件期望被访问的来源地址或者来源安全组
出方向
集群访问规则 协议 端口 授权对象
推荐范围 所有协议 -1/-1(不限制端口) 0.0.0.0/0
最小范围 所有协议 -1/-1(不限制端口) 100.96.0.0/10 (云产品网段)
所有协议 53/53(DNS)
  • 集群APIServer SLB地址
  • 集群内所有关联的vSwitch网段,包括Node vSwitch和Pod vSwitch
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(APIServer)
  • 6443(APIServer)
所有协议 所有应用或组件期望访问的端口 所有应用或组件期望访问的目的地址或者目的安全组