全部产品
Search

搜索本产品

    Elastic Container Instance:Tetapkan kelompok keamanan ke sebuah pod

    文档中心

    Elastic Container Instance:Tetapkan kelompok keamanan ke sebuah pod

    更新时间:Jul 06, 2025

    Kelompok keamanan berfungsi sebagai firewall virtual dan menyediakan kemampuan Stateful Packet Inspection (SPI) serta penyaringan paket. Anda dapat menggunakan kelompok keamanan untuk menentukan domain keamanan di cloud. Aturan kelompok keamanan mengontrol lalu lintas arah masuk dan arah keluar dari pod (contoh wadah elastis) dalam kelompok keamanan.

    Pengenalan kelompok keamanan

    Kelompok keamanan adalah sekelompok instans yang terisolasi secara logis dalam virtual private cloud (VPC) yang sama. Semua instans dalam kelompok keamanan saling dipercaya dan dilindungi oleh aturan kelompok keamanan yang sama. Aturan tersebut mengontrol akses ke atau dari Internet atau jaringan internal untuk contoh wadah elastis dalam kelompok keamanan. Untuk informasi lebih lanjut tentang kelompok keamanan, lihat Ikhtisar.

    Penting

    • Setiap kelompok keamanan dapat mengelola beberapa contoh wadah elastis dalam VPC yang sama.

    • Setiap contoh wadah elastis harus termasuk dalam kelompok keamanan.

    Kelompok keamanan diklasifikasikan menjadi kelompok keamanan dasar dan kelompok keamanan tingkat lanjut. Jika bisnis Anda memerlukan sejumlah besar contoh wadah elastis dan efisiensi O&M yang tinggi, kami sarankan Anda menggunakan kelompok keamanan tingkat lanjut. Dibandingkan dengan kelompok keamanan dasar, kelompok keamanan tingkat lanjut dapat menampung lebih banyak contoh wadah elastis dan mempermudah konfigurasi aturan kelompok keamanan. Untuk informasi lebih lanjut tentang perbedaan antara kedua jenis kelompok keamanan, lihat Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.

    Tetapkan kelompok keamanan ke sebuah pod

    Secara default, ketika Anda membuat pod berbasis Elastic Container Instance dalam kluster Container Service for Kubernetes (ACK), pod tersebut ditambahkan ke kelompok keamanan yang ditentukan dalam eci-profile. Anda juga dapat menetapkan kelompok keamanan lain ke pod sesuai kebutuhan bisnis Anda. Sebelum menetapkan kelompok keamanan lain ke pod, Anda harus membuat kelompok keamanan. Untuk informasi lebih lanjut, lihat Buat sebuah kelompok keamanan.

    Penting

    Anda tidak dapat mengubah kelompok keamanan dari pod berbasis Elastic Container Instance yang sudah ada. Untuk menggunakan pod yang termasuk dalam kelompok keamanan yang berbeda, buat pod identik dalam kelompok keamanan tersebut.

    Konfigurasi kluster

    Profil eci berisi informasi konfigurasi kelompok keamanan. Anda dapat menjalankan perintah kubectl edit untuk mengubah ID kelompok keamanan.

    kubectl edit configmap eci-profile -n kube-system
    Catatan

    Jika versi komponen Virtual Kubelet adalah v2.0.0.90-15deb126e-aliyun atau lebih baru, Anda dapat memodifikasi eci-profile untuk menerapkan pembaruan panas konfigurasi. Komponen Virtual Kubelet adalah komponen ACK Virtual Node. Jika versi Virtual Kubelet Anda lebih lama dari v2.0.0.90-15deb126e-aliyun, kami sarankan Anda meningkatkan Virtual Kubelet.

    Modifikasi parameter securityGroupId dalam bagian data. Contoh:

    data:
  enableClusterIp: "true"
  enableHybridMode: "false"
  enablePrivateZone: "false"
  resourceGroupId: ""
  securityGroupId: sg-2ze0b9o8pjjzts4h**** # Tentukan ID kelompok keamanan. Hanya satu ID kelompok keamanan yang didukung.
  selectors: ""
  vSwitchIds: vsw-2zeet2ksvw7f14ryz****,vsw-2ze94pjtfuj9vaymf****  
  vpcId: vpc-2zeghwzptn5zii0w7****

    Konfigurasi pod

    Untuk beberapa pod berbasis Elastic Container Instance yang memiliki persyaratan khusus, Anda dapat menambahkan anotasi k8s.aliyun.com/eci-security-group untuk menetapkan kelompok keamanan. Persyaratan berikut harus dipenuhi:

    • Anda dapat menetapkan hingga lima kelompok keamanan.

    • Kelompok keamanan yang ditetapkan harus termasuk dalam virtual private cloud (VPC) yang sama.

    • Kelompok keamanan yang ditetapkan harus dari tipe yang sama.

    Penting

    • Anotasi harus ditambahkan ke metadata dalam file konfigurasi pod. Misalnya, saat Anda membuat Deployment, Anda harus menambahkan anotasi di bagian spec.template.metadata.

    • Untuk menggunakan fitur Elastic Container Instance, Anda hanya dapat menambahkan anotasi saat membuat pod berbasis Elastic Container Instance. Jika Anda menambahkan atau memodifikasi anotasi saat memperbarui pod, anotasi tersebut tidak akan berlaku.

    Contoh:

    apiVersion: apps/v1
kind: Deployment
metadata:
  name: test
  labels:
    app: test
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      name: nginx-test
      labels:
        app: nginx
        alibabacloud.com/eci: "true" 
      annotations:
        k8s.aliyun.com/eci-security-group: "sg-bp1dktddjsg5nktv****,sg-2ze0b9o8pjjzts4h****"      # Tetapkan kelompok keamanan.
    spec:
      containers:
      - name: nginx
        image: registry.cn-shanghai.aliyuncs.com/eci_open/nginx:1.14.2
        ports:
        - containerPort: 80

    Tambahkan aturan kelompok keamanan

    Anda dapat menambahkan aturan kelompok keamanan ke contoh wadah elastis dalam kelompok keamanan. Aturan kelompok keamanan mengontrol akses ke instans tersebut. Contoh:

    • Jika contoh wadah elastis perlu berkomunikasi dengan layanan di luar kelompok keamanan, Anda dapat menambahkan aturan kelompok keamanan untuk mengimplementasikan interkoneksi layanan.

    • Saat serangan yang dilakukan oleh sumber permintaan terdeteksi, Anda dapat menambahkan aturan kelompok keamanan untuk memblokir akses dari sumber tersebut.

    Untuk informasi lebih lanjut, lihat Tambahkan aturan kelompok keamanan.