产品解决方案文档与社区权益中心定价云市场合作伙伴支持与服务了解阿里云
备案控制台登录/注册
首页 容器服务 Kubernetes 版 ACK 容器服务 Kubernetes 版 操作指南 集群 管理集群 最小化集群访问规则

最小化集群访问规则

更新时间: 2023-09-01 10:24:39

创建集群或节点池指定已有安全组时,系统默认不会为安全组配置额外的访问规则,请自行管理安全组规则。本文介绍如何配置普通安全组和企业安全组的集群访问规则。

您可以通过添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。更多信息,请参见添加安全组规则

普通安全组

入方向

集群访问规则

协议

端口

授权对象

推荐范围

ICMP

-1/-1(不限制端口)

0.0.0.0/0

所有协议

-1/-1(不限制端口)

  • 集群默认安全组ID

  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)

最小范围

所有协议

53/53(DNS)

  • 集群默认安全组ID

  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)

ICMP

-1/-1(不限制端口)

TCP

  • 10250(Kubelet)

  • 10255(Kubelet)

  • 443(Webhook)

  • 6443(APIServer)

  • 8082(heapster)

所有协议

所有应用或组件期望被访问的端口

所有应用或组件期望被访问的来源地址或者来源安全组

出方向

集群访问规则

协议

端口

授权对象

推荐范围

所有协议

-1/-1(不限制端口)

0.0.0.0/0

最小范围

所有协议

-1/-1(不限制端口)

100.64.0.0/10 (云产品网段)

所有协议

53/53(DNS)

  • 集群APIServer SLB地址

  • 集群默认安全组ID

  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)

TCP

  • 10250(Kubelet)

  • 10255(Kubelet)

  • 443(APIServer)

  • 6443(APIServer)

所有协议

所有应用或组件期望访问的端口

所有应用或组件期望访问的目的地址或者目的安全组

企业安全组

入方向

集群访问规则

协议

端口

授权对象

推荐范围

ICMP

-1/-1(不限制端口)

0.0.0.0/0

所有协议

-1/-1(不限制端口)

  • 集群所属的VPC网段

  • 集群所属的附加VPC网段

  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)

最小范围

所有协议

53/53(DNS)

  • 集群内所有关联的vSwitch网段,包括Node vSwitch和Pod vSwitch

  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)

ICMP

-1/-1(不限制端口)

TCP

  • 10250(Kubelet)

  • 10255(Kubelet)

  • 443(Webhook)

  • 6443(APIServer)

  • 8082(heapster)

所有协议

所有应用或组件期望被访问的端口

所有应用或组件期望被访问的来源地址或者来源安全组

出方向

集群访问规则

协议

端口

授权对象

推荐范围

所有协议

-1/-1(不限制端口)

0.0.0.0/0

最小范围

所有协议

-1/-1(不限制端口)

100.64.0.0/10 (云产品网段)

所有协议

53/53(DNS)

  • 集群APIServer SLB地址

  • 集群内所有关联的vSwitch网段,包括Node vSwitch和Pod vSwitch

  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)

TCP

  • 10250(Kubelet)

  • 10255(Kubelet)

  • 443(APIServer)

  • 6443(APIServer)

所有协议

所有应用或组件期望访问的端口

所有应用或组件期望访问的目的地址或者目的安全组

阿里云首页 容器服务 Kubernetes 版 ACK 相关技术圈
为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告
产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理
解决方案技术解决方案
文档与社区文档开发者社区天池大赛培训与认证
权益中心免费试用高校计划企业扶持计划推荐返现计划
支持与服务基础服务企业增值服务迁云服务官网公告系统状态信任中心
关注阿里云
关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务
阿里云APP阿里云微信
售前咨询:95187-1
售后服务:400-80-13260
法律声明及隐私权政策Cookies政策廉正举报安全举报联系我们加入我们
阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么
© 2009-2023 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015
浙公网安备 33010602009975号浙B2-20080101-4
关注我们:
新浪微博
联系我们
© 2009-2023 Aliyun.com 版权所有<br/>增值电信业务经营许可证: <a href="http://beian.miit.gov.cn/" target="_blank">浙B2-20080101</a> <br/>域名注册服务机构许可: <a href="https://domain.miit.gov.cn/域名注册服务机构/互联网域名/阿里云计算有限公司 " target="_blank">浙D3-20210002</a> <a href="https://domain.miit.gov.cn/域名注册服务机构/互联网域名/阿里巴巴云计算北京有限公司 " target="_blank">京D3-20220015</a>