ACK叢集建立時會為API Server自動建立一個私網CLB執行個體,作為叢集API Server的內網串連端點,通過為該私網CLB執行個體綁定EIP,即可建立公網端點,實現對API Server的公網訪問。為避免API Server受到非法訪問,您可以對該私網CLB執行個體的6443連接埠監聽(Listener)配置存取控制規則,即設定訪問白名單或者黑名單。
由於公網端點和內網端點共用同一個私網CLB執行個體,因此對該CLB執行個體配置的存取控制規則將同時應用於公網端點和內網端點。
負載平衡提供監聽層級的存取控制。您可以在建立監聽時配置存取控制,也可以在監聽建立後修改或重新設定存取控制。更多資訊,請參見存取控制。
操作步驟
您可以針對不同的監聽設定訪問白名單或黑名單,只允許特定IP訪問或限制某些特定IP訪問。
登入Container Service管理主控台,在左側導覽列選擇叢集列表。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇叢集資訊。
在叢集資訊頁面,單擊基本資料頁簽,然後在網路地區,找到並單擊API server 內網端點右側的設定存取控制。仔細閱讀存取控制策略的允許存取提示後,單擊確定。
在負載平衡控制台跳轉的面板中,開啟啟用存取控制開關,選擇存取控制方式和存取控制策略組之後,單擊確定。
在此開啟存取控制之前,您需要首先建立存取控制策略組,並添加IP條目。更多CLB存取控制資訊,請參見開啟存取控制。
重要配置存取控制策略時,除了確保使用者側指定的IP地址能夠正常訪問API Server外,叢集控制面組件和控制台相關的IP位址區段也要能夠正常訪問API Server。因此,請務必在存取控制策略的白名單中添加允許存取以下網段,切勿將其加入黑名單,以免影響叢集功能和管理操作的正常運行。
Container Service for Kubernetes管控的網段100.104.0.0/16。
叢集Virtual Private Cloud的主網段及附加網段(如有),或叢集節點所在的交換器vSwitch網段。
使用者側需訪問API Server串連端點的用戶端出口網段。
除允許存取以上網段之外,ACK Edge叢集還需要允許存取邊緣節點出口網段。
除允許存取以上網段之外,ACK靈駿叢集還需要允許存取靈駿VPD網段。