全部产品
Search

搜索本产品

    Container Service for Kubernetes:Konfigurasikan dan kelola kelompok keamanan untuk kluster ACK

    文档中心

    Container Service for Kubernetes:Konfigurasikan dan kelola kelompok keamanan untuk kluster ACK

    更新时间:Jul 06, 2025

    Kluster Container Service for Kubernetes (ACK) menggunakan kelompok keamanan untuk mengelola lalu lintas antara node kontrol plane dan node pekerja. Anda juga dapat menggunakan kelompok keamanan untuk mengelola lalu lintas antar node, sumber daya dalam virtual private cloud (VPC), serta alamat IP eksternal. Saat membuat kluster atau kumpulan node, sistem akan mengaitkan kluster atau kumpulan tersebut dengan kelompok keamanan default. Anda juga dapat mengaitkannya dengan kelompok keamanan yang sudah ada. Jika Anda memilih kelompok keamanan yang sudah ada, sistem tidak akan mengonfigurasi aturan akses tambahan secara default. Anda perlu mengelola aturan kelompok keamanan secara manual.

    Anda dapat menambahkan aturan kelompok keamanan untuk mengizinkan atau menolak akses dari atau menuju instance Elastic Compute Service (ECS) dalam kelompok keamanan melalui Internet atau jaringan internal. Untuk informasi lebih lanjut, lihat Ikhtisar dan Tambahkan Aturan Kelompok Keamanan.

    Aturan arah masuk dan arah keluar yang direkomendasikan untuk kelompok keamanan kluster

    Kelompok keamanan dasar

    Inbound

    Ruang lingkup kontrol akses

    Protokol

    Port

    Objek otorisasi

    Pengaturan yang direkomendasikan

    ICMP

    -1/-1 (semua port)

    0.0.0.0/0

    Semua protokol

    -1/-1 (semua port)

    • ID kelompok keamanan default kluster.

    • Blok CIDR pod. Aturan ini hanya diperlukan dalam mode jaringan Flannel. Jangan tambahkan aturan ini jika mode jaringan Terway digunakan.

    Pengaturan hak istimewa minimal

    Semua protokol

    53/53 (DNS)

    • ID kelompok keamanan default kluster.

    • Blok CIDR pod. Aturan ini hanya diperlukan dalam mode jaringan Flannel. Jangan tambahkan aturan ini jika mode jaringan Terway digunakan.

    ICMP

    -1/-1 (semua port)

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (webhook)

    • 6443 (API server)

    • 8082 (heapster)

    • Port mendengarkan aplikasi atau komponen yang berfungsi sebagai webhook di kluster, seperti port 8443 tempat gatekeeper mendengarkan.

    TCP

    9082

    Port yang digunakan oleh komponen Poseidon. Jika Anda tidak memiliki komponen ini terpasang, konfigurasi tidak diperlukan.

    Semua protokol

    Port aplikasi dan komponen yang ingin Anda paparkan.

    Alamat IP atau kelompok keamanan kepada mana Anda ingin memaparkan aplikasi atau komponen.

    Outbound

    Ruang lingkup kontrol akses

    Protokol

    Port

    Objek otorisasi

    Pengaturan yang direkomendasikan

    Semua protokol

    -1/-1 (semua port)

    0.0.0.0/0

    Pengaturan hak istimewa minimal

    Semua protokol

    -1/-1 (semua port)

    100.64.0.0/10 (blok CIDR sumber daya Alibaba Cloud)

    Semua protokol

    53/53 (DNS)

    • Alamat IP instance Server Load Balancer (SLB) yang digunakan untuk memaparkan API server Kubernetes kluster.

    • ID kelompok keamanan default kluster.

    • Blok CIDR pod. Aturan ini hanya diperlukan dalam mode jaringan Flannel. Jangan tambahkan aturan ini jika mode jaringan Terway digunakan.

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (API server)

    • 6443 (API server)

    Semua protokol

    Port aplikasi dan komponen yang ingin Anda paparkan.

    Alamat IP atau kelompok keamanan kepada mana Anda ingin memaparkan aplikasi atau komponen.

    Kelompok keamanan tingkat lanjut

    Inbound

    Ruang lingkup kontrol akses

    Protokol

    Port

    Objek otorisasi

    Pengaturan yang direkomendasikan

    ICMP

    -1/-1 (semua port)

    0.0.0.0/0

    Semua protokol

    -1/-1 (semua port)

    • Blok CIDR VPC tempat kluster berada.

    • Blok CIDR sekunder VPC tempat kluster berada.

    • Blok CIDR pod. Aturan ini hanya diperlukan dalam mode jaringan Flannel. Jangan tambahkan aturan ini jika mode jaringan Terway digunakan.

    Pengaturan hak istimewa minimal

    Semua protokol

    53/53 (DNS)

    • Blok CIDR semua vSwitch yang digunakan oleh kluster, termasuk vSwitch node dan vSwitch pod.

    • Blok CIDR pod. Aturan ini hanya diperlukan dalam mode jaringan Flannel. Jangan tambahkan aturan ini jika mode jaringan Terway digunakan.

    ICMP

    -1/-1 (semua port)

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (webhook)

    • 6443 (API server)

    • 8082 (heapster)

    • Port mendengarkan aplikasi atau komponen yang berfungsi sebagai webhook di kluster, seperti port 8443 tempat gatekeeper mendengarkan.

    TCP

    9082

    Port yang digunakan oleh komponen Poseidon. Jika Anda tidak memiliki komponen ini terpasang, konfigurasi tidak diperlukan.

    Semua protokol

    Port aplikasi dan komponen yang ingin Anda paparkan.

    Alamat IP atau kelompok keamanan kepada mana Anda ingin memaparkan aplikasi atau komponen.

    Outbound

    Ruang lingkup kontrol akses

    Protokol

    Port

    Objek otorisasi

    Pengaturan yang direkomendasikan

    Semua protokol

    -1/-1 (semua port)

    0.0.0.0/0

    Pengaturan hak istimewa minimal

    Semua protokol

    -1/-1 (semua port)

    100.64.0.0/10 (blok CIDR sumber daya Alibaba Cloud)

    Semua protokol

    53/53 (DNS)

    • Alamat IP instance SLB yang digunakan untuk memaparkan API server Kubernetes kluster.

    • Blok CIDR semua vSwitch yang digunakan oleh kluster, termasuk vSwitch node dan vSwitch pod.

    • Blok CIDR pod. Aturan ini hanya diperlukan dalam mode jaringan Flannel. Jangan tambahkan aturan ini jika mode jaringan Terway digunakan.

    TCP

    • 10250 (kubelet)

    • 10255 (kubelet)

    • 443 (API server)

    • 6443 (API server)

    Semua protokol

    Port aplikasi dan komponen yang ingin Anda paparkan.

    Alamat IP atau kelompok keamanan kepada mana Anda ingin memaparkan aplikasi atau komponen.

    Nonaktifkan perlindungan penghapusan untuk kelompok keamanan

    Untuk mencegah penghapusan kelompok keamanan yang terkait dengan kluster ACK secara tidak sengaja, perlindungan penghapusan diaktifkan secara default untuk kelompok keamanan tersebut. Jika pesan kesalahan berikut ditampilkan saat Anda mencoba menghapus kelompok keamanan di Konsol ECS, perlindungan penghapusan telah diaktifkan.

    image

    Anda tidak dapat menonaktifkan perlindungan penghapusan untuk kelompok keamanan di Konsol ECS atau melalui pemanggilan operasi API. Setelah semua kluster yang terkait dengan kelompok keamanan dihapus, perlindungan penghapusan akan dinonaktifkan secara otomatis. Untuk menonaktifkan perlindungan penghapusan, Anda perlu memeriksa dan menghapus kluster yang terkait dengan kelompok keamanan secara berurutan. Untuk memeriksa kluster yang terkait, ikuti langkah-langkah berikut:

    1. Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.

    2. Di halaman Clusters, klik nama kluster yang ingin Anda periksa. Pilih tab Basic Information untuk melihat kelompok keamanan kluster.

      Setelah semua kluster yang terkait dengan kelompok keamanan dihapus, Anda dapat menghapus kelompok keamanan di Konsol ECS. Jika Anda masih tidak dapat menghapus kelompok keamanan, ajukan tiket ke tim ACK.

    Untuk informasi lebih lanjut tentang cara menghapus kelompok keamanan, lihat Hapus Kelompok Keamanan.

    Topik terkait

    • Untuk informasi tentang praktik terbaik untuk keamanan jaringan, seperti aturan izin atau penolakan default dan isolasi namespace, lihat Keamanan Jaringan.

    • Untuk informasi tentang cara merencanakan jaringan kluster Kubernetes, seperti blok CIDR instance ECS, pod Kubernetes, dan Layanan, lihat Rencanakan Blok CIDR untuk Kluster ACK.