Swarm mode 集群容器服务安全组规则

查看安全组规则


操作步骤

1. 登录 容器服务管理控制台。
2. 单击左侧导航栏中的 [backcolor=transparent]集群。
3. 选择所需集群并单击右侧的 [backcolor=transparent]管理。
   
   
4. 单击安全组的 ID，跳转到云服务器 ECS 管理控制台上该安全组的详情页面。
   
   
5. 单击左侧导航栏中的 [backcolor=transparent]安全组规则。您可以查看安全组的规则。
   
   

安全组规则

对于 2017 年 2 月 28 日之后创建的容器服务集群，默认创建的安全组已经做了加固。阿里云容器服务未设置出方向的安全组，只会设置入方向的安全组规则。开放的规则如下。
[backcolor=transparent]VPC 安全组：
[backcolor=transparent]经典网络安全组（公网入方向和内网入方向）：

[backcolor=transparent]注意：

• 为方便用户业务的 Web 服务，默认开启443 端口和 80 端口，可以根据自己的需求选择放开或者关闭。
• ICMP 规则建议保留，用于节点间通信，方便排查问题。有些工具也依赖 ICMP。
• 容器服务依赖 22 端口对机器初始化，方便 SSH 到用户机器进行集群的配置。
• VPC 安全组授权对象设置的是容器网段的基础地址，本示例是 172.18.0.0/16地址段，与您在创建 VPC 集群时选择的容器初始网段有关，也可以选择其他网段，参见 创建集群。保证容器之间可以互相通信。

对于 2017 年 2 月 28 日之前创建的集群，安全组规则开的比较大。以经典网络安全组规则为例。
如果希望收紧规则，可以参考安全组的配置进行如下修改（使用上图中的 [backcolor=transparent]增加安全组规则 和 [backcolor=transparent]删除）。

• 
  在内网入方向和公网入方向添加允许 ICMP 规则。
• 
  如果直接访问 VM 的 80 端口和 443 端口或者其它端口，增加内网和公网规则放开此端口。

  
  [backcolor=transparent]注意：务必确保放开所有您需要的端口，否则会导致服务不可访问。通过负载均衡访问的端口不需要放开。

• 
  删除地址段0.0.0.0 端口 -1/-1 的公网入规则和内网入规则。

安全配置原则

• 每个集群一个安全组。
  容器服务每个集群都管理了一个安全组。您可以在这个安全组上配置规则。
• 最小权限原则。
  为了您集群的安全性，安全组应该对外开放最小的权限。
• 经典网络安全组规则区分公网和内网。
  按照最小权限原则，只在需要的网卡类型上增加规则。默认情况下，安全组内的 ECS 实例都可以相互通信，所以如果要增加内网入方向的规则，您需要明确为什么要添加，是否需要给安全组外的 ECS 访问。
• 容器服务创建的安全组添加了一些默认规则。
  为了方便用户操作 ECS 实例，容器服务创建的安全组添加了一些默认规则，开放了诸如 80/443 等端口。如果不需要，您可以删除这些规则。

  
  [backcolor=transparent]注意：不要屏蔽 22 端口。容器服务需要通过这个端口初始化机器。

• 尽量使用容器内部网络进行通信，不将通信暴露到宿主机上。
• 授权其它 ECS 实例访问安全组时，授权给安全组，而非单个 IP。
  要授权其它 ECS 实例访问当前安全组，先创建一个新安全组，把要访问当前安全组的 ECS 实例加入新安全组，再授权新安全组访问当前安全组。
• 优先使用 VPC 网络。如非必要，节点不要绑定 EIP， VPC 网络的隔离性更好。
• VPC 内网出/入方向里要放开容器的网段。
  如果不放开，会导致容器之间网络不通。