CCE — это универсальная контейнерная платформа. Ее правила групп безопасности по умолчанию применимы к типичным сценариям. При создании кластера для мастер‑узлов и воркер‑узлов автоматически создается группа безопасности, отдельно. Имя группы безопасности мастер‑узла имеет формат {Cluster name}-cce-control-{Random ID}, а имя группы безопасности воркер‑узлов имеет формат {Cluster name}-cce-node-{Random ID}. Для кластера CCE Turbo создается дополнительная ENI‑группа безопасности, имя которой соответствует формату {Cluster name}-cce-eni-{Random ID}, будет создана.
Чтобы изменить правила группы безопасности, Войдите в консоль управления и выберите Service List > Networking > Virtual Private Cloud. На отображаемой странице выберите Access Control > Security Groups в панели навигации найдите rpw, содержащий целевую группу безопасности, и измените правила.
Вы можете проверить правила группы безопасности по умолчанию кластеров, использующих различные сетевые модели, в:
- Security Group Rules in a Cluster That Uses the VPC Network Model
- Security Group Rules in a Cluster That Uses the Tunnel Network Model
- Security Group Rules in a CCE Turbo Cluster That Uses the Cloud Native 2.0 Network Model
- Будьте осторожны, когда изменяя или удаляя правила группы безопасности, так как это может влиять на работу кластера. Не изменяйте правила для портов, необходимых для CCE.
- При добавлении правила группы безопасности, убедитесь, что это правило не конфликтует с существующими правилами. Если возникнет конфликт, существующие правила могут стать недействительными, влияя на работу кластера.
Правила группы безопасности в кластере, использующем модель сети VPC
Группа безопасности рабочего узла
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Для получения подробной информации о портах по умолчанию см. Таблица 1.
Направление | Порт | Адрес источника по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | Все порты UDP | VPC CIDR блок | Разрешить доступ между рабочими узлами и между рабочими узлами и мастер‑узлами. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер работать некорректно. |
Все порты TCP | |||||
Все порты ICMP | Группа безопасности мастер‑узла | Разрешить мастер‑узлам доступ к рабочим узлам. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер работать некорректно. | |
Диапазон TCP‑портов: 30000 до 32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от служб NodePort. | Изменение выполнено при необходимости | Порты должны разрешать трафик из CIDR‑блоков VPC, контейнера и балансировщика нагрузки. | |
Диапазон UDP‑портов: 30000 до 32767 | |||||
Все | CIDR‑блок контейнера | Разрешить контейнерам внутри кластера доступ к узлам. | Изменение не рекомендуется | Если конфигурация изменена, кластер будет работать некорректно. | |
Все | Группа безопасности рабочих узлов | Ограничить доступ извне группы безопасности рабочих узлов, но доступ между Подами в группе безопасности рабочих узлов. | Изменение не рекомендуется | Если конфигурация изменена, кластер будет работать некорректно. | |
TCP порт 22 | Все IP‑адреса (0.0.0.0/0) | Разрешить SSH‑доступ к Linux ECSs. | Рекомендуется изменение | Рекомендуется разрешать доступ только с фиксированных IP‑адресов или диапазонов IP‑адресов. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. Рекомендуется сохранить эту настройку. | Изменения выполнены при необходимости | Если вы хотите усилить безопасность, разрешив трафик только на определённых портах, не забудьте разрешить такие порты. Подробнее смотрите Усиление Исходящих Правил. |
Группа безопасности главного узла
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-control-{Random ID}, is automatically created for the master nodes in a cluster. For details about the default ports, see Table 2.
Direction | Port | Default Source Address | Description | Modification Suggestion | Impact After Modification |
|---|---|---|---|---|---|
Inbound rules | TCP port 5444 | VPC CIDR block | Allow access from kube-apiserver, which provides lifecycle management for Kubernetes resources. | Modification not recommended | If the configuration is modified, the cluster will not function correctly. |
TCP port 5444 | Container CIDR block | ||||
TCP port 9443 | VPC CIDR block | Allow the network add-on of the worker nodes to access the master nodes. | Modification not recommended | If the configuration is modified, the cluster will not function correctly. | |
TCP port 5443 | All IP addresses (0.0.0.0/0) | Allow kube-apiserver of the master nodes to listen to the worker nodes. | Modification recommended | The port must allow traffic from the CIDR blocks of the VPC, the control plane of the hosted service mesh, and container. | |
TCP port 8445 | VPC CIDR block | Allow the storage add-on of the worker nodes to access the master nodes. | Modification not recommended | Если конфигурация изменена, кластер будет работать некорректно. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но доступ между pod‑ами в группе безопасности мастер‑узла. | Модификация не рекомендуется | Если конфигурация изменена, кластер будет работать некорректно. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | Разрешать трафик на всех портах по умолчанию. | Модификация не рекомендуется | Если конфигурация изменена, кластер будет работать некорректно. |
Правила группы безопасности в кластере, использующем модель туннельной сети
Группа безопасности рабочего узла
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Для получения подробной информации о портах по умолчанию см Таблица 3.
Направление | Порт | Исходный адрес по умолчанию | Описание | Рекомендация по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | UDP порт 4789 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ между контейнерами. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. |
TCP порт 10250 | CIDR‑блок мастер‑узла | Разрешить мастер‑узлам доступ к kubelet на рабочих узлах для выполнения команд, например, kubectl exec {pod}. | Изменение не рекомендуется | Если конфигурация изменена, кластер не будет работать корректно. | |
Диапазон TCP‑портов: 30000‑32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ от NodePort‑служб. | Изменения вносятся при необходимости | Порты должны пропускать трафик из CIDR‑блоков VPC, балансировщика нагрузки и контейнера. | |
Диапазон UDP‑портов: 30000‑32767 | |||||
TCP порт 22 | Все IP‑адреса (0.0.0.0/0) | Разрешить SSH‑доступ к Linux‑ECS. | Рекомендуется изменение | Рекомендуется разрешать доступ только с фиксированных IP-адресов или диапазонов IP-адресов. | |
Все | Группа безопасности рабочего узла | Ограничьте доступ извне группы безопасности рабочего узла, но оставьте доступ между подами в группе безопасности рабочего узла. | Изменение не рекомендуется | Если конфигурация изменена, кластер не будет работать корректно. | |
Исходящее правило | Все | Все IP-адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. Рекомендуется оставить эту настройку. | Изменение выполнено при необходимости | Если вы хотите усилить безопасность, разрешив трафик только на определённых портах, не забудьте разрешить эти порты. Подробнее см Ужесточение исходящих правил. |
Группа безопасности главного узла
Группа безопасности, с именем, соответствующим формату {Cluster name}-cce-control-{Random ID}, автоматически создаётся для мастер‑узлов в кластере. Для получения подробной информации о портах по умолчанию см. Таблица 4.
Направление | Порт | Исходный адрес по умолчанию | Описание | Предложение по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | UDP порт 4789 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ между контейнерами. | Модификация не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. |
TCP порт 5444 | VPC CIDR блок | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. | Модификация не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. | |
TCP порт 5444 | Контейнер CIDR блок | ||||
TCP порт 9443 | VPC CIDR блок | Разрешить сетевому дополнению рабочих узлов доступ к узлам master. | Модификация не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. | |
TCP порт 5443 | Все IP-адреса (0.0.0.0/0) | Разрешить kube-apiserver мастер-узлов принимать запросы от рабочих узлов. | Изменение рекомендуется | Порт должен разрешать трафик из CIDR‑блоков VPC, контрольной плоскости размещённого сервисного mesh и контейнера. | |
TCP порт 8445 | VPC CIDR блок | Разрешить аддону хранилища рабочих узлов обращаться к мастер-узлам. | Изменение не рекомендуется | Если конфигурацию изменить, кластер не будет работать корректно. | |
Все | Группа безопасности узла мастера | Ограничить доступ извне группы безопасности узла мастера, но доступ между pods в группе безопасности узла мастера. | Изменение не рекомендуется | Если конфигурацию изменить, кластер не будет работать корректно. | |
Исходящее правило | Все | Все IP-адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. | Модификация не рекомендуется | Если конфигурация изменена, кластер не будет работать корректно. |
Правила группы безопасности в CCE Turbo Cluster, использующем модель сети Cloud Native 2.0
Группа безопасности рабочих узлов
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-node-{Random ID}, автоматически создаётся для рабочих узлов в кластере. Подробнее о портах по умолчанию см Table 5.
Направление | Порт | Адрес источника по умолчанию | Описание | Предложение по изменению | Воздействие после изменения |
|---|---|---|---|---|---|
Входящие правила | TCP порт 10250 | CIDR‑блок мастер‑узла | Разрешить мастер‑узлам доступ к kubelet на рабочих узлах для выполнения команд, например, kubectl exec {pod}. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. |
Диапазон TCP‑портов: 30000‑32767 | Все IP‑адреса (0.0.0.0/0) | Разрешить доступ из служб NodePort. | Изменение выполнено при необходимости | Порты должны разрешать трафик из CIDR‑блоков VPC, балансировщика нагрузки и контейнера. | |
UDP диапазон портов: 30000 до 32767 | |||||
TCP порт 22 | Все IP-адреса (0.0.0.0/0) | Разрешить доступ по SSH к Linux ECSs. | Рекомендуется изменение | Рекомендуется разрешать доступ только с фиксированных IP-адресов или диапазонов IP-адресов. | |
Все | Группа безопасности рабочего узла | Ограничить доступ из внешних источников группы безопасности рабочего узла, но разрешить доступ между подами в группе безопасности рабочего узла. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. | |
Все | CIDR-блок подсети контейнеров | Разрешить контейнерам в кластере доступ к узлам. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. | |
Исходящее правило | Все | Все IP-адреса (0.0.0.0/0) | Разрешить трафик на всех портах по умолчанию. Рекомендуется оставить эту настройку. | Изменения при необходимости | Если вы хотите усилить безопасность, разрешая трафик только на определённых портах, не забудьте разрешить эти порты. Для получения подробностей смотрите Усиление исходящих правил. |
Группа безопасности мастер‑узла
Группа безопасности с именем, соответствующим формату {Cluster name}-cce-control-{Random ID}, автоматически создаётся для мастер‑узлов в кластере. Для получения подробностей о портах по умолчанию смотрите Таблица 6.
Направление | Порт | Исходный адрес по умолчанию | Описание | Предложение по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | TCP порт 5444 | Все IP-адреса (0.0.0.0/0) | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер работать некорректно. |
TCP порт 5444 | VPC CIDR-блок | Изменение не рекомендуется | Если конфигурация будет изменена, кластер работать некорректно. | ||
TCP‑порт 9443 | CIDR‑блок VPC | Разрешить сетевому дополнению рабочих узлов доступ к управляющим узлам. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. | |
TCP‑порт 5443 | Все IP‑адреса (0.0.0.0/0) | Разрешить kube-apiserver управляющих узлов слушать рабочие узлы. | Изменение рекомендуется | Порт должен разрешать трафик из CIDR‑блоков VPC, управляющего уровня размещённой сервисной сетки и контейнера. | |
TCP‑порт 8445 | CIDR‑блок VPC | Разрешить хранилищному дополнению рабочих узлов доступ к управляющим узлам. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. | |
Все | Группа безопасности мастер‑узла | Ограничить доступ извне группы безопасности мастер‑узла, но разрешить доступ между pod‑ами в группе безопасности мастер‑узла. | Не рекомендуется изменять | Если изменить конфигурацию, кластер будет работать некорректно. | |
Все | CIDR‑блок подсети контейнера | Разрешить трафик со всех IP‑адресов источника в CIDR‑блоке подсети контейнера. | Не рекомендуется изменять | Если изменить конфигурацию, кластер будет работать некорректно. | |
Исходящее правило | Все | Все IP‑адреса (0.0.0.0/0) | По умолчанию разрешён трафик на все порты. | Не рекомендуется изменять | Если изменить конфигурацию, кластер будет работать некорректно. |
Группа безопасности ENI
В кластере CCE Turbo дополнительная группа безопасности с именем, соответствующим формату {Cluster name}-cce-eni-{Random ID}, создана. По умолчанию контейнеры в кластере привязаны к этой группе безопасности. Подробную информацию о портах по умолчанию см. Таблица 7.
Направление | Порт | Адрес источника по умолчанию | Описание | Рекомендация по изменению | Влияние после изменения |
|---|---|---|---|---|---|
Входящие правила | Все | Группа безопасности ENI | Разрешить контейнерам внутри кластера получать доступ друг к другу. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. |
VPC CIDR-блок | Разрешить экземплярам в VPC кластера получать доступ к контейнерам. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. | ||
Исходящее правило | Все | Все IP-адреса (0.0.0.0/0) | Разрешать трафик на всех портах по умолчанию. | Изменение не рекомендуется | Если конфигурация будет изменена, кластер не будет работать корректно. |
Ужесточение исходящих правил
По умолчанию все группы безопасности, созданные CCE, разрешают всё исходящий трафик. Рекомендуется оставить эту конфигурацию. Для усиления исходящих правил убедитесь, что трафик на портах, указанных в следующей таблице, разрешён.
Порт | Разрешённый CIDR | Описание |
|---|---|---|
UDP порт 53 | DNS‑сервер подсети | Разрешить трафик на порту для разрешения имён доменов. |
UDP порт 5353 | CIDR‑блок контейнера | Разрешить трафик на порту для разрешения имён доменов CoreDNS. |
UDP порт 4789 (требуется только кластерами, использующими туннельные сети) | Все IP‑адреса | Разрешить доступ между контейнерами. |
TCP порт 5443 | CIDR‑блок главного узла | Разрешить kube-apiserver master‑узлов слушать worker‑узлы. |
TCP порт 5444 | CIDR‑блоки VPC и контейнеров | Разрешить доступ от kube-apiserver, который обеспечивает управление жизненным циклом ресурсов Kubernetes. |
TCP порт 6443 | CIDR‑блок master‑узла | Нет |
TCP порт 8445 | CIDR‑блок VPC | Разрешить дополнению storage worker‑узлов доступ к master‑узлам. |
TCP порт 9443 | CIDR‑блок VPC | Разрешить дополнению network worker‑узлов доступ к master‑узлам. |
Все порты | 198.19.128.0/17 | Разрешить доступ к VPC Endpoint (VPCEP). |
UDP порт 123 | 100.125.0.0/16 | Разрешить рабочим узлам доступ к внутреннему NTP серверу. |
TCP port 443 | 100.125.0.0/16 | Разрешить рабочим узлам доступ к OBS по внутренним сетям для загрузки пакета установки. |
TCP port 6443 | 100.125.0.0/16 | Разрешить рабочим узлам сообщать, что рабочие узлы были установлены. |