Saat membuat kluster Container Service for Kubernetes (ACK), instance Classic Load Balancer (CLB) privat secara otomatis dibuat untuk server API sebagai titik akhir koneksi internal. Dengan mengaitkan alamat IP elastis (EIP) ke instance CLB privat ini, Anda dapat membuat titik akhir publik untuk mengaktifkan akses publik ke server API. Untuk mencegah akses tidak sah ke server API, konfigurasikan kebijakan kontrol akses pada pendengar port 6443 dari instance CLB privat dengan menetapkan daftar putih atau daftar hitam.
Karena titik akhir publik dan titik akhir internal berbagi instance CLB privat yang sama, kebijakan kontrol akses yang dikonfigurasi untuk instance CLB ini berlaku untuk kedua titik akhir tersebut.
Anda dapat mengonfigurasi kontrol akses untuk setiap pendengar dari instance CLB. Pengaturan kontrol akses dapat dilakukan saat pembuatan pendengar atau dimodifikasi untuk pendengar yang sudah ada. Untuk informasi lebih lanjut, lihat Kontrol Akses.
Prosedur
Anda dapat mengonfigurasi daftar putih atau daftar hitam untuk pendengar guna menerima atau memblokir akses dari alamat IP tertentu.
Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang diinginkan dan klik namanya. Di panel sebelah kiri, klik Cluster Information.
Di halaman Cluster Information, klik tab Basic Information. Pada bagian Network, klik Set access control di sebelah kanan API server Internal Endpoint. Baca catatan, lalu klik Confirm.
Di panel Konfigurasi Kontrol Akses dari konsol Server Load Balancer (SLB), aktifkan sakelar Access Control, konfigurasikan Tipe ACL dan parameter ACL, lalu klik OK.
Sebelum mengaktifkan kontrol akses, Anda harus membuat ACL dan menambahkan entri IP. Untuk informasi lebih lanjut tentang kontrol akses CLB, lihat Aktifkan kontrol akses.
PentingSaat mengonfigurasi kebijakan kontrol akses, pastikan bahwa alamat IP yang ditentukan di sisi pengguna dapat mengakses server API secara normal. Rentang alamat IP komponen bidang kontrol kluster dan layanan terkait konsol juga harus dapat mengakses server API. Tambahkan blok CIDR berikut ke daftar putih dalam kebijakan kontrol akses. Jangan tambahkan mereka ke daftar hitam untuk menghindari memengaruhi operasi normal fungsi kluster dan operasi manajemen.
Blok CIDR yang dikelola oleh Container Service for Kubernetes, yaitu 100.104.0.0/16.
Blok CIDR utama dan blok CIDR tambahan (jika ada) dari virtual private cloud (VPC) kluster, atau blok CIDR vSwitch tempat node kluster berada.
Blok CIDR keluar dari klien yang perlu mengakses titik akhir koneksi server API di sisi pengguna.
Selain blok CIDR di atas, kluster ACK Edge harus mengizinkan blok CIDR keluar dari node edge.
Selain blok CIDR di atas, kluster ACK Lingjun harus mengizinkan blok CIDR dari Lingjun Virtual Private Datacenter (VPD).