云监控 Prometheus 服务提供托管探针能力支持容器、VPC 场景的指标采集,本文对托管探针使用安全组的情况进行说明。
使用说明
原 ARMS Prometheus 服务(现已迁移到云监控)对于容器集群需要托管探针(ACS/ASK/One 集群类型或已开通容器监控 Pro 版),托管探针会默认使用容器集群安全组,并向安全组的出和入方向注入以下策略:
IP 网段 100.64.0.0/10,端口 All。该策略用于 Prometheus 管控面服务与探针通信。策略描述为:Prometheus For VPC (ISP Permission)。
关联 VPC 的 IP 网段和附属 IP 网段,端口 All。该策略用于托管探针采集 VPC 内所有配置的 IP 地址和端口指标。策略描述为:Prometheus For VPC (VPC Permission) 。该策略与容器服务默认安全组创建规则一致。
原 ARMS Prometheus 服务对于 ECS 主机及中间件指标采集的托管探针,默认采用新建安全组方案。安全组命名规则为
alicloud-arms-auto-created-security-group-{VpcID}。云监控 2.0 容器洞察服务,针对存量和新增容器集群,都会安装托管探针。早期安全组方案与 ARMS Prometheus 服务一致。 我们已经从 2025 年 11 月 开始切换为创建独立安全组方案,不再复用容器集群默认的安全组。命名规则为
alicloud-arms-auto-created-security-group-{VpcID}。策略上对端口开放范围减小为 80-65533 段,协议限制为 TCP 协议。说明针对以上安全组强烈建议:
对于云监控新建的
alicloud-arms-auto-created-security-group-{VpcID}命名的安全组,客户业务不能复用该安全组,安全组策略完全由 Prometheus 云产品托管。针对复用的容器集群安全组,若认为云产品注入的策略不符合企业管理需要,请自行进行变更。客户业务之间的网络访问需求,请独立创建合适的安全组策略。以防止因云产品注入的策略被回收带来业务上的网络风险,不要复用云产品创建的安全组策略。