Swarm 集群 安全组 容器服务安全组规则
查看安全组规则
操作步骤
- 登录 容器服务管理控制台。
- 在 Swarm 菜单下,单击左侧导航栏中的集群。
- 选择所需集群并单击右侧的管理。
- 单击安全组的 ID,跳转到云服务器 ECS 管理控制台上该安全组的详情页面。
- 单击左侧导航栏中的安全组规则。您可以查看安全组的规则。
安全组规则说明 对于 2017 年 2 月 28 日之后创建的容器服务集群,默认创建的安全组已经做了加固。阿里云容器服务未设置出方向的安全组规则,只会设置入方向的安全组规则。2018 年 1 月 1 日以后,仅支持新建 VPC 网络的容器集群,以 VPC 集群为例,开放的规则如下。
VPC 安全组:
Note 为方便用户业务的 Web 服务,默认开启 443 端口和 80 端口,可以根据自己的需求选择放开或者关闭。 ICMP 规则建议保留,用于节点间通信,方便排查问题。有些工具也依赖 ICMP。 VPC 安全组授权对象设置的是容器网段的基础地址,本示例是 172.20.0.0/16地址段,与您在创建 VPC 集群时选择的容器初始网段有关,也可以选择其他网段,参见创建集群。保证容器之间可以互相通信。对于 2017 年 2 月 28 日之前创建的集群,安全组规则开的比较大。以经典网络安全组规则为例。
如果希望收紧规则,可以参考安全组的配置进行如下修改(使用上图中的 增加安全组规则 和删除)。
- 在内网入方向和公网入方向添加允许 ICMP 规则。
- 如果直接访问 VM 的 80 端口和 443 端口或者其它端口,增加内网和公网规则放开此端口。[tr=transparent][url=http://g.alicdn.com/aliyun-icms/assets/icms-main/images/note.png][/url]Note[tr=transparent]务必确保放开所有您需要的端口,否则会导致服务不可访问。通过负载均衡访问的端口不需要放开。
- 删除地址段0.0.0.0 端口 -1/-1 的公网入规则和内网入规则。
安全配置原则
- 每个集群一个安全组。容器服务每个集群都管理了一个安全组。您可以在这个安全组上配置规则。
- 最小权限原则。为了您集群的安全性,安全组应该对外开放最小的权限。
- 容器服务创建的安全组添加了一些默认规则。为了方便用户操作 ECS 实例,容器服务创建的安全组添加了一些默认规则,开放了诸如 80/443 等端口。如果不需要,您可以删除这些规则。
- 尽量使用容器内部网络进行通信,不将通信暴露到宿主机上。
- 授权其它 ECS 实例访问安全组时,授权给安全组,而非单个 IP。要授权其它 ECS 实例访问当前安全组,先创建一个新安全组,把要访问当前安全组的 ECS 实例加入新安全组,再授权新安全组访问当前安全组。
- VPC 内网出/入方向里要放开容器的网段。如果不放开,会导致容器之间网络不通。
展开
收起
相关产品:
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
热门讨论
热门文章
怎么查看registry.aliyuncs.com/google_containers都有哪些镜像
7951
registry.aliyuncs.com/google_containers这个镜像仓库都有啥镜像
1712
阿里云发布的全球首个容器计算服务ACS,和已有的ASK有什么区别
1220
使用mirrors.aliyun.com更新docker-ce提示404
4562
【漫画】关于容器,你是否踩过很多坑,要吐好多苦水?
4341
在容器服务ACK上部署的nacos集群,protocol/raft/目录下的LOG日志可以清理掉吗?
595
服务 和 容器 是什么关系
6078
容器服务ACK的k8s的出口IP地址在哪里看来着?
524
nacos重启报错,且启动端口不是配置文件中设置的。但用docker挂载data启动又是正常的,求解
221
ACS与ACK Serverless 两个产品的区别
57
展开全部
