Saat membuat kluster Container Service for Kubernetes (ACK), sebuah instans Classic Load Balancer (CLB) privat secara otomatis dibuat untuk server API sebagai titik akhir internal. Dengan mengaitkan alamat IP elastis (EIP) ke instans CLB tersebut, titik akhir publik akan diekspos. Untuk membatasi alamat IP yang dapat mengakses server API, konfigurasikan daftar kontrol akses (ACL)—baik berupa daftar putih maupun blacklist—pada Port 6443 instans CLB tersebut. Anda dapat mengonfigurasi kontrol akses saat membuat pendengar atau mengubah pengaturan kontrol akses pada pendengar yang sudah ada. Untuk informasi selengkapnya, lihat Access control.
Titik akhir publik dan titik akhir internal menggunakan instans CLB yang sama. Kebijakan ACL yang dikonfigurasikan akan berlaku sekaligus untuk kedua titik akhir tersebut—tidak dimungkinkan menetapkan kebijakan berbeda untuk akses publik dan internal.
Prasyarat
Sebelum memulai, pastikan Anda telah:
-
Membuat kluster ACK dengan instans CLB privat yang dibuat untuk server API
-
Membuat ACL di konsol Server Load Balancer (SLB)
-
Menambahkan entri IP yang diperlukan ke dalam ACL
Blok CIDR yang diperlukan untuk daftar putih
Jika Anda mengonfigurasi daftar putih, blok CIDR berikut harus disertakan. Rentang ini mencakup lapisan kontrol kluster, komunikasi antara node dan server API, serta layanan konsol. Memblokir rentang ini akan mengganggu operasi dan manajemen kluster.
| Blok CIDR | Alasan diperlukan |
|---|---|
100.104.0.0/16 |
Rentang yang dikelola ACK untuk komponen lapisan kontrol — traffic lapisan kontrol berasal dari rentang ini |
| Blok CIDR utama dari virtual private cloud (VPC) kluster, serta blok CIDR tambahan apa pun, atau blok CIDR vSwitch tempat node kluster berada | Node kluster berkomunikasi dengan server API melalui jaringan VPC; memblokirnya akan memutus konektivitas antara node dan lapisan kontrol |
| Blok CIDR egress dari client apa pun yang perlu mengakses server API | Memungkinkan workstation, sistem CI/CD, atau alat eksternal lainnya mengakses titik akhir tersebut |
| (Hanya untuk kluster ACK Edge) Blok CIDR egress dari edge node | Edge node mengakses server API melalui rentang ini |
| (Hanya untuk kluster ACK Lingjun) Blok CIDR Virtual Private Datacenter (VPD) Lingjun | Node kluster Lingjun berkomunikasi melalui jaringan VPD |
Jangan pernah menambahkan blok CIDR ini ke dalam blacklist. Memasukkannya ke dalam blacklist akan memutus komunikasi lapisan kontrol dan merusak operasi manajemen kluster.
Konfigurasikan kontrol akses untuk server API
-
Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.
-
Di halaman Clusters, temukan kluster yang ingin Anda kelola lalu klik namanya. Di panel sebelah kiri, klik Cluster Information.
-
Di halaman Cluster Information, klik tab Basic Information. Di bagian Network, klik Set access control di sebelah kanan API server Internal Endpoint. Baca catatan tersebut, lalu klik Confirm.
-
Di panel Configure Access Control konsol SLB, aktifkan sakelar Access Control, atur parameter ACL Type dan ACL, lalu klik OK. Untuk detail tentang kontrol akses CLB, lihat Enable access control.
Topik terkait
-
Access control — referensi lengkap untuk konfigurasi kontrol akses CLB