全部产品
Search

搜索本产品

    Container Service for Kubernetes:Konfigurasikan dan kelola grup keamanan kluster

    文档中心

    Container Service for Kubernetes:Konfigurasikan dan kelola grup keamanan kluster

    更新时间:Feb 10, 2026

    Kluster Alibaba Cloud Container Service for Kubernetes (ACK) menggunakan grup keamanan untuk membatasi lalu lintas jaringan antara node bidang kontrol dan node pekerja. Grup keamanan juga mengontrol lalu lintas antara node, sumber daya Virtual Private Cloud (VPC), dan alamat IP eksternal. Saat Anda membuat kluster atau kelompok node, sebuah grup keamanan ditetapkan secara otomatis. Anda juga dapat mengaitkan grup keamanan yang sudah ada. Jika melakukannya, sistem tidak akan mengonfigurasi aturan akses tambahan untuknya, sehingga Anda harus mengelola dan menyelaraskan aturan grup keamanan tersebut.

    Anda dapat menambahkan aturan grup keamanan untuk mengizinkan atau menolak akses dari jaringan publik atau jaringan pribadi ke instans Elastic Compute Service (ECS) dalam grup keamanan tersebut. Untuk informasi selengkapnya, lihat Security group overview dan Add a security group rule.

    Aturan inbound dan outbound yang direkomendasikan untuk security group kluster

    Basic security groups

    Inbound

    Aturan akses kluster

    Protokol

    Port

    Otorisasi objek

    Cakupan yang direkomendasikan

    ICMP

    -1/-1 (semua port)

    0.0.0.0/0

    All Protocols

    -1/-1 (semua port)

    • ID security group default kluster

    • Blok CIDR Pod kluster (Tambahkan aturan security group untuk mode jaringan Flannel. Jangan tambahkan aturan security group untuk mode jaringan Terway.)

    Cakupan minimum

    All Protocols

    53/53 (DNS)

    • ID security group default kluster

    • Blok CIDR Pod kluster (Tambahkan aturan security group untuk mode jaringan Flannel. Jangan tambahkan aturan security group untuk mode jaringan Terway.)

    ICMP

    -1/-1 (semua port)

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (Webhook)

    • 6443 (API Server)

    • 8082 (heapster)

    • Port listener kontainer yang menyediakan layanan webhook di kluster, seperti port 8443 untuk komponen Gatekeeper.

    TCP

    9082

    Port yang digunakan oleh komponen Poseidon. Konfigurasi ini tidak diperlukan jika komponen tersebut tidak digunakan.

    All protocols

    Semua port tempat aplikasi atau komponen diharapkan dapat diakses

    Semua alamat sumber atau grup keamanan sumber tempat aplikasi atau komponen diharapkan dapat diakses

    Outbound

    Aturan akses kluster

    Protokol

    Port

    Otorisasi objek

    Cakupan yang direkomendasikan

    All protocols

    -1/-1 (semua port)

    0.0.0.0/0

    Cakupan minimum

    All protocols

    -1/-1 (semua port)

    100.64.0.0/10 (Blok CIDR untuk Layanan Alibaba Cloud)

    All protocols

    53/53 (DNS)

    • Alamat Server Load Balancer (SLB) API server kluster

    • ID security group default kluster

    • Blok CIDR Pod kluster (Tambahkan aturan security group untuk mode jaringan Flannel. Jangan tambahkan aturan security group untuk mode jaringan Terway.)

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (API Server)

    • 6443 (API Server)

    All protocols

    Semua port yang diharapkan diakses oleh aplikasi atau komponen

    Semua alamat tujuan atau grup keamanan tujuan yang diharapkan diakses oleh aplikasi atau komponen

    Advanced security groups

    Inbound

    Aturan akses kluster

    Protokol

    Port

    Otorisasi objek

    Cakupan yang direkomendasikan

    ICMP

    -1/-1 (semua port)

    0.0.0.0/0

    All protocols

    -1/-1 (semua port)

    • Blok CIDR VPC kluster

    • Blok CIDR VPC tambahan kluster

    • Blok CIDR Pod kluster (Tambahkan aturan security group untuk mode jaringan Flannel. Jangan tambahkan aturan security group untuk mode jaringan Terway.)

    Cakupan minimum

    All protocols

    53/53 (DNS)

    • Semua blok CIDR vSwitch terkait dalam kluster, termasuk vSwitch node dan vSwitch pod

    • Blok CIDR Pod kluster (Tambahkan aturan security group untuk mode jaringan Flannel. Jangan tambahkan aturan security group untuk mode jaringan Terway.)

    ICMP

    -1/-1 (semua port)

    TCP

    • 10250 (Kubelet)

    • 10255 (Kubelet)

    • 443 (Webhook)

    • 6443 (APIServer)

    • 8082 (heapster)

    • Port listener kontainer yang menyediakan layanan webhook di kluster, seperti port 8443 untuk komponen Gatekeeper.

    TCP

    9082

    Port yang digunakan oleh komponen Poseidon. Konfigurasi ini tidak diperlukan jika komponen tersebut tidak digunakan.

    All Protocols

    Semua port tempat aplikasi atau komponen diharapkan dapat diakses

    Semua alamat sumber atau grup keamanan sumber tempat aplikasi atau komponen diharapkan dapat diakses

    Outbound

    Aturan akses kluster

    Protokol

    Port

    Otorisasi objek

    Cakupan yang direkomendasikan

    All protocols

    -1/-1 (semua port)

    0.0.0.0/0

    Cakupan minimum

    All protocols

    -1/-1 (semua port)

    100.64.0.0/10 (Blok CIDR untuk Layanan Alibaba Cloud)

    All protocols

    53/53 (DNS)

    • Alamat SLB API server kluster

    • Semua blok CIDR vSwitch terkait dalam kluster, termasuk vSwitch node dan vSwitch pod

    • Blok CIDR Pod kluster (Tambahkan aturan security group untuk mode jaringan Flannel. Jangan tambahkan aturan security group untuk mode jaringan Terway.)

    TCP

    • 10250 (Kubelet)

    • 10255 (Kubelet)

    • 443 (APIServer)

    • 6443 (APIServer)

    All protocols

    Semua port yang diharapkan diakses oleh aplikasi atau komponen

    Semua alamat tujuan atau grup keamanan tujuan yang diharapkan diakses oleh aplikasi atau komponen

    Nonaktifkan perlindungan penghapusan untuk security group

    Untuk mencegah penghapusan tidak disengaja terhadap grup keamanan yang dikaitkan dengan kluster, ACK mengaktifkan perlindungan penghapusan untuk semua grup keamanan terkait. Jika Anda menerima pesan error berikut saat melepas grup keamanan di Konsol ECS, hal tersebut terjadi karena ACK telah mengaktifkan perlindungan penghapusan untuk grup keamanan tersebut.

    image

    Anda tidak dapat menonaktifkan secara manual perlindungan penghapusan untuk grup keamanan melalui konsol atau dengan memanggil operasi API. ACK secara otomatis menonaktifkan perlindungan penghapusan untuk grup keamanan hanya setelah Anda menghapus semua kluster yang menggunakan grup keamanan tersebut. Untuk menghapus grup keamanan, Anda harus terlebih dahulu mengidentifikasi dan menghapus semua kluster terkait. Langkah-langkah berikut menjelaskan cara menemukan grup keamanan yang dikaitkan dengan kluster.

    1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.

    2. Pada halaman Clusters, klik nama kluster yang dituju. Klik tab Basic Information untuk melihat grup keamanan kluster tersebut.

      Setelah Anda menghapus semua kluster yang menggunakan grup keamanan tersebut, lepaskan grup keamanan di Konsol ECS. Jika pelepasan gagal, ajukan tiket ke tim Container Service.

    Untuk informasi selengkapnya tentang cara menghapus grup keamanan, lihat Delete a security group.

    Referensi

    • Untuk informasi selengkapnya tentang praktik terbaik keamanan jaringan, seperti aturan default allow atau deny dan isolasi namespace, lihat Network security.

    • Untuk informasi selengkapnya tentang perencanaan jaringan untuk kluster Kubernetes, termasuk perencanaan alamat IP ECS, alamat IP pod Kubernetes, dan blok CIDR Service, lihat Network planning for ACK managed clusters.