2月28号之后创建容器服务集群,默认创建的安全组已经做了加固,开放的规则如下
443端口和80端口可以根据自己的需求选择放开或者关闭。
icmp规则建议保留,方便排查问题。有些工具也依赖icmp
2月28之前创建的集群,安全组规则开的比较大,以经典网络安全组规则为例
如果希望收紧规则,可以参考前面安全组的配置。步骤如下
在内网入方向和公网入方向添加允许icmp规则
如果直接访问vm的80端口和443端口,或者其他端口,增加内网和公网规则,放开此端口。务必确保放开所有你需要的端口,否则会导致服务不可访问。通过slb访问的端口不需要放开。
删除地址段<code>0.0.0.0</code>端口<code>-1/-1</code>的公网入规则和内网入规则。
每个集群一个安全组。
最小权限原则
经典网络安全组规则区分公网和内网
容器服务默认添加的规则。
尽量使用容器内部网络进行通信,不将通信暴露到宿主机上
授权其他ecs机器访问安全组,授权给安全组,而非单个ip。
优先使用vpc网络,如非必要,节点不要绑定eip
vpc内网出/入方向里要放开容器的网段。