云容器引擎 CCE-集群安全组规则配置:云原生网络2.0(CCE Turbo集群)安全组规则
下载云容器引擎 CCE用户手册完整版
云原生网络2.0( CCE Turbo 集群)安全组规则
Node节点安全组
集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表5。
方向 |
端口 |
默认源地址 |
说明 |
是否可修改 |
修改建议 |
|---|---|---|---|---|---|
入方向规则 |
TCP:10250 |
Master节点网段 |
Master节点主动访问Node节点的kubelet(如执行kubectl exec {pod})。 |
不可修改 |
不涉及 |
TCP:30000-32767 |
所有IP地址(0.0.0.0/0) |
集群NodePort服务默认访问端口范围。 |
可修改 |
端口需对VPC网段、容器网段和ELB的网段放通。 |
|
UDP:30000-32767 |
|||||
TCP:22 |
所有IP地址(0.0.0.0/0) |
允许SSH远程连接Linux弹性云服务器。 |
建议修改 |
不涉及 |
|
全部 |
Node节点安全组 |
限制Node节点安全组外的访问,但对于Node节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
全部 |
容器子网网段 |
允许集群中的容器访问节点。 |
不可修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通,通常情况下不建议修改。 |
可修改 |
如需加固出方向规则,请注意指定端口需要放通,详情请参见安全组出方向规则加固建议。 |
Master节点安全组
集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表6。
方向 |
端口 |
默认源地址 |
说明 |
是否支持修改 |
修改建议 |
|---|---|---|---|---|---|
入方向规则 |
TCP:5444 |
所有IP地址(0.0.0.0/0) |
kube-apiserver服务端口,提供K8s资源的生命周期管理。 |
不可修改 |
不涉及 |
TCP:5444 |
VPC网段 |
不可修改 |
不涉及 |
||
TCP:9443 |
VPC网段 |
Node节点网络插件访问Master节点。 |
不可修改 |
不涉及 |
|
TCP:5443 |
所有IP地址(0.0.0.0/0) |
Master的kube-apiserver的监听端口。 |
建议修改 |
端口需保留对VPC网段、容器网段和托管网格控制面网段放通。 说明:
如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 |
|
TCP:8445 |
VPC网段 |
Node节点存储插件访问Master节点。 |
不可修改 |
不涉及 |
|
全部 |
Master节点安全组 |
限制Master节点安全组外的访问,但对于Master节点安全组中的实例互相访问不做限制。 |
不可修改 |
不涉及 |
|
全部 |
容器子网网段 |
属于容器子网网段的源地址需全部放通。 |
不可修改 |
不涉及 |
|
出方向规则 |
全部 |
所有IP地址(0.0.0.0/0) |
默认全部放通。 |
不可修改 |
不涉及 |
ENI安全组
CCE Turbo集群会额外创建名为{集群名}-cce-eni-{随机ID}的安全组,默认为集群中的容器绑定该安全组,默认端口说明请参见表7。
