创建集群或节点池指定已有安全组时,系统默认不会为安全组配置额外的访问规则,请自行管理安全组规则。本文介绍如何配置普通安全组和企业安全组的集群访问规则。

您可以通过添加安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。更多信息,请参见添加安全组规则

普通安全组

入方向
集群访问规则协议端口授权对象
推荐范围ICMP-1/-1(不限制端口)0.0.0.0/0
所有协议-1/-1(不限制端口)
  • 集群默认安全组ID
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
最小范围所有协议53/53(DNS)
  • 集群默认安全组ID
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
ICMP-1/-1(不限制端口)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(Webhook)
  • 6443(APIServer)
  • 8082(heapster)
所有协议

所有应用或组件期望被访问的端口

所有应用或组件期望被访问的来源地址或者来源安全组

出方向
集群访问规则协议端口授权对象
推荐范围所有协议-1/-1(不限制端口)0.0.0.0/0
最小范围所有协议-1/-1(不限制端口)100.96.0.0/10 (云产品网段)
所有协议53/53(DNS)
  • 集群APIServer SLB地址
  • 集群默认安全组ID
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(APIServer)
  • 6443(APIServer)
所有协议所有应用或组件期望访问的端口所有应用或组件期望访问的目的地址或者目的安全组

企业安全组

入方向
集群访问规则协议端口授权对象
推荐范围ICMP-1/-1(不限制端口)0.0.0.0/0
所有协议-1/-1(不限制端口)
  • 集群所属的VPC网段
  • 集群所属的附加VPC网段
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
最小范围所有协议53/53(DNS)
  • 集群内所有关联的vSwitch网段,包括Node vSwitch和Pod vSwitch
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
ICMP-1/-1(不限制端口)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(Webhook)
  • 6443(APIServer)
  • 8082(heapster)
所有协议所有应用或组件期望被访问的端口所有应用或组件期望被访问的来源地址或者来源安全组
出方向
集群访问规则协议端口授权对象
推荐范围所有协议-1/-1(不限制端口)0.0.0.0/0
最小范围所有协议-1/-1(不限制端口)100.96.0.0/10 (云产品网段)
所有协议53/53(DNS)
  • 集群APIServer SLB地址
  • 集群内所有关联的vSwitch网段,包括Node vSwitch和Pod vSwitch
  • 集群Pod网络地址段(Flannel网络模式添加安全组规则,Terway网络模式不添加安全组规则)
TCP
  • 10250(Kubelet)
  • 10255(Kubelet)
  • 443(APIServer)
  • 6443(APIServer)
所有协议所有应用或组件期望访问的端口所有应用或组件期望访问的目的地址或者目的安全组