CCE — это универсальная платформа Контейнеров. Ее правила группы безопасности по умолчанию применимы к общим сценариям использования. При создании кластера автоматически создаётся группа безопасности для мастер‑узлов и отдельная для рабочих узлов. Имя группы безопасности мастер‑узлов имеет формат {Cluster name}-cce-control-{Random ID}, а имя группы безопасности рабочего узла имеет формат {Cluster name}-cce-node-{Random ID}. Для кластера CCE Turbo дополнительно создаётся группа безопасности elastic network interface, имя которой следует формату {Cluster name}-cce-eni-{Random ID}, будет создана.
Вы можете войти в VPC console, выберите Контроль доступа > Группы безопасности в навигационной панели и измените правила группы безопасности для кластера в соответствии с вашими требованиями к безопасности.
Вы можете просмотреть правила группы безопасности по умолчанию для кластеров, использующих разные сетевые модели, в:
Группа безопасности рабочего узла
Группа безопасности, имя которой следует формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Для подробностей о портах по умолчанию см. Table 1.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | Все UDP‑порты | VPC CIDR block | Разрешить доступ между рабочими узлами и между рабочими узлами и мастер‑узлами. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
Все TCP‑порты | |||||
Все ICMP‑порты | Группа безопасности мастер‑узла | Разрешить мастер‑узлам доступ к рабочим узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Диапазон TCP‑портов: 30000‑32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от сервисов NodePort. | Изменение при необходимости | Порты должны пропускать трафик из CIDR‑блоков VPC, Pod и балансировщика нагрузки. | |
Диапазон UDP‑портов: 30000‑32767 | |||||
Все | Container CIDR block | Разрешить контейнерам внутри кластера доступ к узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Все | Группа безопасности рабочего узла | Ограничить доступ извне группы безопасности рабочего узла, но разрешить доступ между Pod‑ами внутри группы безопасности рабочего узла. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
TCP‑порт 22 | Все IP‑адреса (0.0.0.0/0) | Разрешить SSH‑доступ к Linux ECS. | Рекомендуется изменение | Рекомендуется разрешать доступ только с фиксированных IP‑адресов или диапазонов IP‑адресов. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на всех портах. Рекомендуется оставить эту настройку. | Изменение при необходимости | Если вы хотите усилить безопасность, разрешив трафик только на определённых портах, не забудьте разрешить эти порты. Подробности смотрите в Усиление исходящих правил. |
Группа безопасности мастер‑узла
Группа безопасности, имя которой следует формату {Cluster name}-cce-control-{Random ID}, автоматически создаётся для мастер‑узлов в кластере. Для подробностей о портах по умолчанию см. Table 2.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | TCP‑порт 5444 | VPC CIDR block | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
TCP‑порт 5444 | Container CIDR block | ||||
TCP‑порт 9443 | VPC CIDR block | Разрешить сетевому дополнению рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
TCP‑порт 5443 | Все IP‑адреса (0.0.0.0/0) | Порт балансировщика HAProxy для kube-apiserver, который перенаправляет входящие запросы к бэкенд‑Pod‑ам kube-apiserver. | Рекомендуется изменение | Порт должен пропускать трафик из CIDR‑блоков VPC, управляющего плана размещённой сетевой службы и CIDR‑блока контейнеров. | |
TCP‑порт 8445 | VPC CIDR block | Разрешить хранилищному дополнению рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но разрешить доступ между Pod‑ами внутри группы безопасности мастер‑узла. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на всех портах. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
Группа безопасности рабочего узла
Группа безопасности, имя которой следует формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Для подробностей о портах по умолчанию смотрите Table 3.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | UDP‑порт 4789 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ между контейнерами. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
TCP‑порт 10250 | Master node CIDR block | Разрешить мастер‑узлам доступ к kubelet на рабочих узлах для выполнения команд, например, kubectl exec {pod}. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Диапазон TCP‑портов: 30000‑32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от сервисов NodePort. | Изменение при необходимости | Порты должны пропускать трафик из CIDR‑блоков VPC, балансировщика нагрузки и Pod. | |
Диапазон UDP‑портов: 30000‑32767 | |||||
TCP‑порт 22 | Все IP‑адреса (0.0.0.0/0) | Разрешить SSH‑доступ к Linux ECS. | Рекомендуется изменение | Рекомендуется разрешать доступ только с фиксированных IP‑адресов или диапазонов IP‑адресов. | |
Все | Группа безопасности рабочего узла | Ограничить доступ извне группы безопасности рабочего узла, но разрешить доступ между Pod‑ами внутри группы безопасности рабочего узла. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на всех портах. Рекомендуется оставить эту настройку. | Изменение при необходимости | Если вы хотите усилить безопасность, разрешив трафик только на определённых портах, не забудьте разрешить эти порты. Подробности смотрите в Усиление исходящих правил. |
Группа безопасности мастер‑узла
Группа безопасности, имя которой следует формату {Cluster name}-cce-control-{Random ID} автоматически создаётся для мастер‑узлов в кластере. Для подробностей о портах по умолчанию см. Table 4.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | UDP‑порт 4789 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ между контейнерами. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
TCP‑порт 5444 | VPC CIDR block | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
TCP‑порт 5444 | Container CIDR block | ||||
TCP‑порт 9443 | VPC CIDR block | Разрешить сетевому дополнению рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
TCP‑порт 5443 | Все IP‑адреса (0.0.0.0/0) | Порт балансировщика HAProxy для kube-apiserver, который перенаправляет входящие запросы к бэкенд‑Pod‑ам kube-apiserver. | Рекомендуется изменение | Порт должен пропускать трафик из CIDR‑блоков VPC, управляющего плана размещённой сетевой службы и CIDR‑блока контейнеров. | |
TCP‑порт 8445 | VPC CIDR block | Разрешить хранилищному дополнению рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но разрешить доступ между Pod‑ами внутри группы безопасности мастер‑узла. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на всех портах. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
Группа безопасности рабочего узла
Группа безопасности, имя которой следует формату {Cluster name}-cce-node-{Random ID} автоматически создаётся для рабочих узлов в кластере. Для подробностей о портах по умолчанию см. Table 5.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | TCP‑порт 10250 | Master node CIDR block | Разрешить мастер‑узлам доступ к kubelet на рабочих узлах для выполнения команд, например, kubectl exec {pod}. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
Диапазон TCP‑портов: 30000‑32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от сервисов NodePort. | Изменение при необходимости | Порты должны пропускать трафик из CIDR‑блоков VPC, балансировщика нагрузки и Pod. | |
Диапазон UDP‑портов: 30000‑32767 | |||||
TCP‑порт 22 | Все IP‑адреса (0.0.0.0/0) | Разрешить SSH‑доступ к Linux ECS. | Рекомендуется изменение | Рекомендуется разрешать доступ только с фиксированных IP‑адресов или диапазонов IP‑адресов. | |
Все | Группа безопасности рабочего узла | Ограничить доступ извне группы безопасности рабочего узла, но разрешить доступ между Pod‑ами внутри группы безопасности рабочего узла. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Все | Container subnet CIDR block | Разрешить контейнерам внутри кластера доступ к узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на всех портах. Рекомендуется оставить эту настройку. | Изменение при необходимости | Если вы хотите усилить безопасность, разрешив трафик только на определённых портах, не забудьте разрешить эти порты. Подробности смотрите в Усиление исходящих правил. |
Группа безопасности мастер‑узла
Группа безопасности, имя которой следует формату {Cluster name}-cce-control-{Random ID} автоматически создаётся для мастер‑узлов в кластере. Для подробностей о портах по умолчанию см. Table 6.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | TCP‑порт 5444 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
TCP‑порт 5444 | VPC CIDR block | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | ||
TCP‑порт 9443 | VPC CIDR block | Разрешить сетевому дополнению рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
TCP‑порт 5443 | Все IP‑адреса (0.0.0.0/0) | Порт балансировщика HAProxy для kube-apiserver, который перенаправляет входящие запросы к бэкенд‑Pod‑ам kube-apiserver. | Рекомендуется изменение | Порт должен пропускать трафик из CIDR‑блоков VPC, управляющего плана размещённой сетевой службы и CIDR‑блока контейнеров. | |
TCP‑порт 8445 | VPC CIDR block | Разрешить хранилищному дополнению рабочих узлов доступ к мастер‑узлам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но разрешить доступ между Pod‑ами внутри группы безопасности мастер‑узла. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Все | Container subnet CIDR block | Разрешить трафик со всех исходных IP‑адресов в CIDR‑блоке подсети контейнеров. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на всех портах. Рекомендуется оставить эту настройку. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
Группа безопасности elastic network interface
В кластере CCE Turbo дополнительная группа безопасности, имя которой следует формату {Cluster name}-cce-eni-{Random ID} создаётся. По умолчанию контейнеры в кластере привязаны к этой группе безопасности. Для подробностей о портах по умолчанию смотрите Table 7.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | Все | Группа безопасности elastic network interface | Разрешить контейнерам в кластере доступ друг к другу. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
VPC CIDR block | Разрешить экземплярам в VPC кластера доступ к контейнерам. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. | ||
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на всех портах. | Изменение не рекомендуется | Изменение конфигурации может привести к прерыванию работы кластера. |
По умолчанию все группы безопасности, созданные CCE, разрешают весь исходящий трафик. Вы рекомендуются сохранить эту конфигурацию. Чтобы усилить исходящие правила, убедитесь, что трафик на портах, перечисленных в следующей таблице, разрешён.
Порт | Разрешённый CIDR | Описание |
|---|---|---|
TCP‑порт 53 | DNS‑сервер подсети | Разрешить трафик на порту для разрешения доменных имён. |
UDP‑порт 53 | ||
TCP‑порт 5353 | Container CIDR block | Разрешить трафик на порту для разрешения доменных имён CoreDNS. |
UDP‑порт 5353 | ||
UDP‑порт 4789 (требуется только кластерами, использующими туннельные сети) | Все IP‑адреса | Разрешить доступ между контейнерами. |
TCP‑порт 5443 | Master node CIDR block | Порт балансировщика HAProxy для kube-apiserver, который перенаправляет входящие запросы к бэкенд‑Pod‑ам kube-apiserver. |
TCP‑порт 5444 | CIDR‑блоки VPC и контейнеров | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. |
TCP‑порт 6443 | Master node CIDR block | None |
TCP‑порт 8445 | VPC CIDR block | Разрешить хранилищному дополнению рабочих узлов доступ к мастер‑узлам. |
TCP‑порт 9443 | VPC CIDR block | Разрешить сетевому дополнению рабочих узлов доступ к мастер‑узлам. |
Все порты | 198.19.128.0/17 | Разрешить доступ к VPC Endpoint (VPCEP). |
UDP‑порт 123 | 100.125.0.0/16 | Разрешить рабочим узлам доступ к внутреннему NTP‑серверу. |
TCP‑порт 443 | 100.125.0.0/16 | Разрешить рабочим узлам доступ к OBS по внутренним сетям для загрузки пакета установки. |
TCP‑порт 6443 | 100.125.0.0/16 | Разрешить рабочим узлам сообщать о завершении установки. |
TCP: 8102 | 100.125.0.0/16 | Разрешить лог‑добавлению рабочих узлов доступ к LTS. |