2月28号之後建立容器服務叢集,預設建立的安全組已經做了加強,開放的規則如下
443端口和80端口可以根據自己的需求選擇放開或者關閉。
icmp規則建議保留,友善排查問題。有些工具也依賴icmp
2月28之前建立的叢集,安全組規則開的比較大,以經典網絡安全組規則為例
如果希望收緊規則,可以參考前面安全組的配置。步驟如下
在内網入方向和公網入方向添加允許icmp規則
如果直接通路vm的80端口和443端口,或者其他端口,增加内網和公網規則,放開此端口。務必確定放開所有你需要的端口,否則會導緻服務不可通路。通過slb通路的端口不需要放開。
删除位址段<code>0.0.0.0</code>端口<code>-1/-1</code>的公網入規則和内網入規則。
每個叢集一個安全組。
最小權限原則
經典網絡安全組規則區分公網和内網
容器服務預設添加的規則。
盡量使用容器内部網絡進行通信,不将通信暴露到主控端上
授權其他ecs機器通路安全組,授權給安全組,而非單個ip。
優先使用vpc網絡,如非必要,節點不要綁定eip
vpc内網出/入方向裡要放開容器的網段。