本文介紹如何通過AlbConfig配置安全性群組以安全地管理ALB執行個體流量,並提供相關的安全性原則和配置建議。
前提條件
已安裝2.15.0及以上的ALB Ingress Controller組件。
ACK專有叢集通過ALB Ingress訪問服務,在部署服務前需要為ACK專有叢集授予ALB Ingress Controller存取權限。
注意事項
配置安全性群組時,有以下注意事項。
ALB升級執行個體支援通過安全性群組或ACL來管理訪問流量。升級前的ALB執行個體,僅支援通過ACL來進行存取控制。若您需要使用安全性群組,請建立執行個體或向商務經理申請存量執行個體的升級。
相容性
同個ALB執行個體僅支援使用安全性群組或ACL,不能同時使用,也不支援直接切換。如需切換,需先解除綁定當前的配置並儲存AlbConfig,待調諧完成後,再新增ACL或安全性群組。
更新邏輯
例如,當前AlbConfig綁定了安全性群組
sg-1、sg-2、sg-3,需變更為sg-3、sg-4、sg-5。ALB Ingress Controller將首先新增並綁定sg-4、sg-5,再解除sg-1、sg-2。請控制每次更新數量,避免超出配額限制。類型及配額
分類
安全性群組類型
說明
ALB支援加入的安全性群組
普通安全性群組
企業級安全性群組
要求安全性群組為專用網路類型,且安全性群組和ALB執行個體屬於同一個Virtual Private Cloud(Virtual Private Cloud)。
ALB執行個體可加入的安全性群組數量及可關聯的安全性群組規則數量,均遵循ECS安全性群組相關配額的限制:
一個ALB執行個體最多可加入的安全性群組數量=ECS執行個體(或彈性網卡)安全性群組配額數量-1(即ALB託管安全性群組佔用1個配額)
一個ALB執行個體最多可關聯的安全性群組規則數量=ECS執行個體(或彈性網卡)安全性群組規則配額數量-ALB託管安全性群組規則數量
同一個ALB執行個體加入的安全性群組類型需保持一致,即不支援同時加入普通安全性群組和企業級安全性群組。
某個ALB執行個體已加入普通安全性群組,如果需要加入企業級安全性群組,可解除綁定當前ALB執行個體的所有普通安全性群組後再行操作,反之亦然。
普通安全性群組和企業安全性群組詳情請參見普通安全性群組與企業級安全性群組。
ALB不支援加入的安全性群組
託管安全性群組
託管安全性群組詳情請參見託管安全性群組。
安全性群組行為
當ALB執行個體加入安全性群組且沒有設定任何拒絕策略時,ALB監聽連接埠預設對所有請求開放。
若您僅需允許特定IP訪問ALB,請務必添加一條拒絕策略作為兜底措施。更多資訊請參見情境說明。
後端服務安全性原則配置建議
在ACK叢集中,節點、彈性網卡及Pod等可通過多種方式配置安全性原則。建議提前開放ALB執行個體所屬交換器網段,確保與後端服務的正常通訊。
操作步驟
在建立或更新AlbConfig配置安全性群組之前,您需要提前擷取已添加安全規則的目標安全性群組ID。
擷取安全性群組ID。
登入ECS管理主控台。
在左側導覽列,選擇。
在頂部功能表列左上方處,選擇目標資源所在的資源群組和地區。
複製儲存目標安全性群組ID。
建立或更新AlbConfig。
您可以在AlbConfig中增加
securityGroupIds欄位,並配置複製儲存的安全性群組ID,配置樣本如下。如需配置多個安全性群組,您可以根據安全性群組的類型及配額來確認可加入的安全性群組數量。apiVersion: alibabacloud.com/v1 kind: AlbConfig metadata: name: alb spec: config: name: alb-test addressType: Intranet zoneMappings: - vSwitchId: vsw-uf6k2yoy************* - vSwitchId: vsw-uf6pv7wg************* securityGroupIds: # 配置安全性群組欄位。 - sg-uf6blkp8************ # 安全性群組ID。 - sg-djladhla************ # 安全性群組ID。 addressAllocatedMode: Fixed listeners: - port: 80 protocol: HTTP