ACK集群创建时会为API Server自动创建一个私网CLB实例,作为集群API Server的内网连接端点,通过为该私网CLB实例绑定EIP,即可创建公网端点,实现对API Server的公网访问。为避免API Server受到非法访问,您可以对该私网CLB实例的6443端口监听(Listener)配置访问控制规则,即设置访问白名单或者黑名单。
由于公网端点和内网端点共享同一个私网CLB实例,因此对该CLB实例配置的访问控制规则将同时应用于公网端点和内网端点。
负载均衡提供监听级别的访问控制。您可以在创建监听时配置访问控制,也可以在监听创建后修改或重新配置访问控制。更多信息,请参见访问控制。
操作步骤
您可以针对不同的监听设置访问白名单或黑名单,只允许特定IP访问或限制某些特定IP访问。
登录容器服务管理控制台,在左侧导航栏选择集群列表。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择集群信息。
在集群信息页面,单击基本信息页签,然后在网络区域,找到并单击API server 内网端点右侧的设置访问控制。仔细阅读访问控制策略的放行提示后,单击确定。
在负载均衡控制台跳转的面板中,打开启用访问控制开关,选择访问控制方式和访问控制策略组之后,单击确定。
在此开启访问控制之前,您需要首先创建访问控制策略组,并添加IP条目。更多CLB访问控制信息,请参见开启访问控制。
重要配置访问控制策略时,除了确保用户侧指定的IP地址能够正常访问API Server外,集群控制面组件和控制台相关的IP地址段也要能够正常访问API Server。因此,请务必在访问控制策略的白名单中添加放行以下网段,切勿将其加入黑名单,以免影响集群功能和管理操作的正常运行。
容器服务 Kubernetes 版管控的网段100.104.0.0/16。
集群专有网络VPC的主网段及附加网段(如有),或集群节点所在的交换机vSwitch网段。
用户侧需访问API Server连接端点的客户端出口网段。
除放行以上网段之外,ACK Edge集群还需要放行边缘节点出口网段。
除放行以上网段之外,ACK灵骏集群还需要放行灵骏VPD网段。