云容器引擎作为通用的容器平台,需配置适用于 Kubernetes 集群的安全组。创建集群时,支持选择默认新增和使用已有安全组。
选择默认新增会为 Master 节点和 Worker 节点共同创建一个安全组,安全组名称是:security-group_{vpcID}。用户可以根据安全要求,登录天翼云控制台,点击产品 > 网络 > 虚拟私有云,在控制台左侧点击访问控制 > 安全组,根据名称找到对应安全组规则进行修改。
选择使用已有安全组,请参考集群自动创建的默认安全组规则放通指定端口,以确保集群中的正常网络通信。
安全组规则说明
| 方向 | 端口 | 源地址/目标地址 | 说明 | 优先级(取值越小优先级越高) | 是否支持修改 |
|---|---|---|---|---|---|
| 入方向 | 全部 | 198.19.128.0/20 | vpce和elb服务使用 | 99 | 不可修改 |
| 出方向 | 全部 | 169.254.169.254/32 | 访问底层资源 | 99 | 不可修改 |
| 全部 | 100.64.0.0/10 | 内网dns serverip,对象存储等内部服务使用 | 99 | 不可修改 | |
| 全部 | 198.19.192.0/19 | vpce和elb服务使用 | 99 | 不可修改 | |
| 全部 | VPC网段 | 节点之间互访 | 99 | 不可修改 | |
| 全部 | 100.0.0.0/8 | 访问底层资源 | 99 | 不可修改 | |
| 全部 | 0.0.0.0/0 | 默认全部放通,不建议修改 | 100 | 可修改 | |
| 全部 | 0:0:0:0:0:0:0:0/0 | 默认全部放通,不建议修改 | 100 | 可修改 |
