CCE — это универсальная контейнерная платформа. Её правила группы безопасности по умолчанию подходят для общих сценариев. При создании кластера автоматически создаётся группа безопасности для мастер‑узлов и рабочих узлов отдельно. Имя группы безопасности мастер‑узла имеет формат {Имя кластера}-cce-control-{Случайный ID}, а у группы безопасности рабочего узла имеет формат {Имя кластера}-cce-node-{Случайный ID}. Для кластера CCE Turbo создаётся дополнительная группа безопасности эластичного сетевого интерфейса, имя которой следует формату {Имя кластера}-cce-eni-{Случайный ID}, будет создана.
Вы можете войти в консоль VPC, выберите Контроль доступа > Группы безопасности в панели навигации, и измените правила группы безопасности для кластера в соответствии с вашими требованиями безопасности.
Вы можете проверить правила группы безопасности по умолчанию для кластеров, использующих разные сетевые модели в:
Группа безопасности рабочих узлов
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Подробную информацию о портах по умолчанию см. Таблица 1.
Направление | Порт | Адрес источника по умолчанию | Описание | Предложение по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | Все UDP порты | VPC CIDR блок | Разрешить доступ между рабочими узлами и между рабочими узлами и основными узлами. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
Все TCP порты | |||||
Все ICMP порты | Группа безопасности мастер‑узла | Разрешить мастер‑узлам доступ к рабочим узлам. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Диапазон TCP портов: 30000 до 32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от NodePort Services. | Внесение изменений при необходимости | Порты должны разрешать трафик из CIDR‑блоков VPC, контейнера и балансировщика нагрузки. | |
Диапазон портов UDP: 30000 до 32767 | |||||
Все | CIDR‑блок контейнера | Разрешить контейнерам внутри кластера доступ к узлам. | Внесение изменений не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Все | Группа безопасности рабочих узлов | Ограничить доступ извне группы безопасности рабочих узлов, но разрешить доступ между pods в группе безопасности рабочих узлов. | Внесение изменений не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
TCP‑порт 22 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ по SSH к Linux ECSs. | Modification recommended | Вам рекомендуется разрешать доступ только с фиксированных IP‑адресов или диапазонов IP‑адресов. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. Вам рекомендуется оставить эту настройку. | Изменения выполнены при необходимости | Если вы хотите усилить безопасность, разрешив трафик только на определённых портах, не забудьте открыть эти порты. Для подробностей см. Hardening Outbound Rules. |
Группа безопасности мастер‑узла
Группа безопасности, имя которой следует формату {Cluster name}-cce-control-{Random ID}, автоматически создаётся для мастер‑узлов в кластере. Подробности о портах по умолчанию см. Таблица 2.
Направление | Порт | Стандартный адрес источника | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | TCP порт 5444 | VPC CIDR‑блок | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
TCP порт 5444 | Container CIDR‑блок | ||||
TCP порт 9443 | VPC CIDR‑блок | Разрешить сетевому аддону рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
TCP‑порт 5443 | Все IP‑адреса (0.0.0.0/0) | Порт балансировки нагрузки HAProxy для kube-apiserver, который позволяет перенаправлять входящие запросы к бэкэнд‑подам kube-apiserver. | Изменение рекомендуется | Порт должен пропускать трафик из CIDR‑блоков VPC, управляющей плоскости размещённой service mesh и контейнера. | |
TCP‑порт 8445 | CIDR‑блок VPC | Разрешить хранилищному аддону рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но доступ между pod‑ами в группе безопасности мастер‑узла. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
Группа безопасности рабочего узла
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Подробнее о портах по умолчанию см. Таблица 3.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | порт UDP 4789 | Все IP-адреса (0.0.0.0/0) | Разрешить доступ между контейнерами. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
порт TCP 10250 | CIDR-блок главного узла | Разрешить главным узлам доступ к kubelet на рабочих узлах для выполнения команд, например, kubectl exec {pod}. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
TCP диапазон портов: 30000 до 32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от NodePort Services. | Изменение выполнено при необходимости | Порты должны разрешать трафик из CIDR‑блоков VPC, балансировщика нагрузки и контейнера. | |
UDP диапазон портов: 30000 до 32767 | |||||
TCP порт 22 | Все IP‑адреса (0.0.0.0/0) | Разрешить SSH‑доступ к Linux ECS. | Изменение рекомендуется | Рекомендуется разрешать доступ только с фиксированных IP‑адресов или диапазонов IP‑адресов. | |
Все | Группа безопасности рабочего узла | Ограничить доступ извне группы безопасности рабочей ноды, но доступ между pod‑ами в группе безопасности рабочей ноды. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. Рекомендуется оставить эту настройку. | Изменения вносятся при необходимости | Если вы хотите усилить безопасность, разрешая трафик только на конкретных портах, не забудьте разрешить эти порты. Для получения подробностей смотрите Усиление исходящих правил. |
Группа безопасности мастер‑ноды
Группа безопасности, название которой определяется форматом {Cluster name}-cce-control-{Random ID}, создаётся автоматически для мастер‑узлов кластера. Для получения сведений о портах по умолчанию см. Таблица 4.
Направление | Порт | Исходный адрес по умолчанию | Описание | Предложение по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | UDP порт 4789 | Все IP-адреса (0.0.0.0/0) | Разрешить доступ между контейнерами. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
TCP порт 5444 | VPC CIDR-блок | Разрешить доступ от kube-apiserver, который предоставляет управление жизненным циклом ресурсов Kubernetes. | Изменение не рекомендуется | Изменение конфигурации может прервать функциональность кластера. | |
TCP порт 5444 | Container CIDR-блок | ||||
TCP порт 9443 | VPC CIDR-блок | Разрешить сетевому дополнению рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может прервать функциональность кластера. | |
TCP порт 5443 | Все IP-адреса (0.0.0.0/0) | Порт балансировки нагрузки HAProxy для kube-apiserver, который позволяет перенаправлять входящие запросы к backend kube-apiserver pod‑ам. | Изменение рекомендуется | Порт должен разрешать трафик из CIDR-блоков VPC, контрольной плоскости размещённого service mesh и контейнера. | |
TCP порт 8445 | VPC CIDR блок | Разрешить дополнению хранилища рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но разрешить доступ между подами в группе безопасности мастер‑узла. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
Группа безопасности рабочих узлов
Группа безопасности, имя которой следует формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Для получения подробной информации о портах по умолчанию см Table 5.
Направление | Порт | Исходный адрес по умолчанию | Описание | Предложение по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | TCP порт 10250 | Master node CIDR блок | Разрешить master nodes доступ к kubelet на worker nodes для выполнения команд, например, kubectl exec {pod}. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию функциональности кластера. |
TCP порт диапазон: 30000 до 32767 | Все IP-адреса (0.0.0.0/0) | Разрешить доступ из NodePort Services. | Изменение выполнено при необходимости | Порты должны разрешать трафик из CIDR блоков VPC, load balancer и container. | |
UDP порт диапазон: 30000 до 32767 | |||||
TCP порт 22 | Все IP-адреса (0.0.0.0/0) | Разрешить доступ по SSH к Linux ECSs. | Изменение рекомендуется | Рекомендуется разрешать доступ только с фиксированных IP‑адресов или диапазонов IP‑адресов. | |
Все | Группа безопасности рабочих узлов | Ограничьте доступ извне группы безопасности рабочих узлов, но оставьте доступ между pod‑ами в группе безопасности рабочих узлов. | Изменение не рекомендуется | Изменение конфигурации может нарушить работу кластера. | |
Все | CIDR‑блок подсети контейнеров | Разрешить контейнерам в кластере доступ к узлам. | Изменение не рекомендуется | Изменение конфигурации может нарушить работу кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | Разрешать трафик на всех портах по умолчанию. Рекомендуется оставить эту настройку. | Изменение выполнено при необходимости | Если вы хотите усилить безопасность, разрешив трафик только на определённых портах, не забудьте разрешить такие порты. Для подробностей см. Усиление правил исходящего трафика. |
Группа безопасности мастер‑узла
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-control-{Random ID}, автоматически создаётся для мастер‑узлов в кластере. Для подробностей о портах по умолчанию см. Таблица 6.
Направление | Порт | Адрес источника по умолчанию | Описание | Предложение по изменению | Impact After Modification |
|---|---|---|---|---|---|
Входящие правила | TCP порт 5444 | Все IP-адреса (0.0.0.0/0) | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
TCP порт 5444 | VPC CIDR блок | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | ||
TCP порт 9443 | VPC CIDR блок | Разрешить сетевому дополнению рабочих узлов доступ к мастер-узлам. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
TCP порт 5443 | Все IP-адреса (0.0.0.0/0) | порт балансировки нагрузки HAProxy для kube-apiserver, который позволяет перенаправлять входящие запросы к бэкенд‑подам kube-apiserver. | Рекомендуется изменение | Порт должен разрешать трафик из CIDR‑блоков VPC, контрольной плоскости размещённого сервис‑меша и контейнера. | |
TCP порт 8445 | VPC CIDR‑блок | Разрешить дополнению хранилища рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но разрешить доступ между подами в группе безопасности мастер‑узла. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Все | CIDR-блок подсети контейнера | Разрешить трафик от всех исходных IP-адресов в CIDR-блоке подсети контейнера. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. | |
Исходящее правило | Все | Все IP-адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
Группа безопасности эластичного сетевого интерфейса
В кластере CCE Turbo дополнительная группа безопасности с именем, соответствующим формату {Cluster name}-cce-eni-{Random ID}, создаётся. По умолчанию контейнеры в кластере привязаны к этой группе безопасности. Для получения подробностей о портах по умолчанию см. Таблица 7.
Направление | Порт | Адрес источника по умолчанию | Описание | Рекомендация по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | Все | Группа безопасности эластичного сетевого интерфейса | Разрешить контейнерам внутри кластера получать доступ друг к другу. | Изменение не рекомендуется | Изменение конфигурации может прервать работу кластера. |
CIDR‑блок VPC | Разрешить экземплярам в VPC кластера получать доступ к контейнерам. | Модификация не рекомендуется | Изменение конфигурации может нарушить работу кластера. | ||
Исходящее правило | Все | Все IP-адреса (0.0.0.0/0) | По умолчанию разрешать трафик на всех портах. | Модификация не рекомендуется | Изменение конфигурации может нарушить работу кластера. |
По умолчанию все группы безопасности, созданные CCE, позволяют все исходящий трафик. Вам рекомендуется оставить эту конфигурацию. Чтобы усилить исходящие правила, убедитесь, что трафик на портах, указанных в следующей таблице, разрешён.
Порт | Разрешённый CIDR | Описание |
|---|---|---|
TCP порт 53 | DNS сервер подсети | Разрешить трафик на порту для разрешения доменных имен. |
UDP порт 53 | ||
TCP порт 5353 | CIDR‑блок контейнера | Разрешить трафик на порту для разрешения доменных имен CoreDNS. |
UDP порт 5353 | ||
UDP порт 4789 (требуется только кластерами, использующими туннельные сети) | Все IP‑адреса | Разрешить доступ между контейнерами. |
TCP порт 5443 | CIDR‑блок мастер‑узла | Порт балансировки нагрузки HAProxy для kube-apiserver, который позволяет перенаправлять входящие запросы к backend‑подам kube-apiserver. |
TCP порт 5444 | CIDR‑блоки VPC и контейнеров | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. |
TCP порт 6443 | CIDR‑блок мастер‑узла | - |
TCP порт 8445 | CIDR‑блок VPC | Разрешить дополнению storage рабочих узлов доступ к мастер‑узлам. |
TCP порт 9443 | CIDR‑блок VPC | Разрешить дополнению network рабочих узлов доступ к мастер‑узлам. |
Все порты | 198.19.128.0/17 | Разрешить доступ к VPC Endpoint (VPCEP). |
UDP порт 123 | 100.125.0.0/16 | Разрешить рабочим узлам доступ к внутреннему серверу NTP. |
TCP порт 443 | 100.125.0.0/16 | Разрешить рабочим узлам доступ к OBS через внутренние сети для загрузки пакета установки. |
TCP порт 6443 | 100.125.0.0/16 | Разрешить рабочим узлам сообщать, что рабочие узлы были установлены. |