文档中心

上云无忧 > 文档中心 > 百度智能云容器引擎服务 CCE 安全组
百度智能云
容器引擎服务CCE
简介/价格/文档
百度智能云容器引擎服务 CCE 安全组

文档简介:
CCE 安全组体系已经完成升级改造,新版包含如下 4 个 CCE 安全组 (具体所含规则见本文第 2 节): CCE Master 默认安全组。 CCE Master 附加安全组。 CCE Node (Worker) 默认安全组。 CCE Node (Worker) 附加安全组。 CCE 安全组使用原则如下: (1) 默认安全组包含 CCE Master/Worker 正常运作所必须的安全组规则,强烈建议勾选 CCE Master/Worker 默认安全组,或者确保自行指定的安全组包含这些规则。
*此产品及展示信息均由百度智能云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

CCE 安全组说明

CCE 安全组体系已经完成升级改造,新版包含如下 4 个 CCE 安全组 (具体所含规则见本文第 2 节):

  • CCE Master 默认安全组
  • CCE Master 附加安全组
  • CCE Node (Worker) 默认安全组
  • CCE Node (Worker) 附加安全组

CCE 安全组使用原则如下:

(1) 默认安全组包含 CCE Master/Worker 正常运作所必须的安全组规则,强烈建议勾选 CCE Master/Worker 默认安全组,或者确保自行指定的安全组包含这些规则。

(2) 若需 CCE 集群支持公网访问,请勾选 CCE Master 附加安全组,或者确保自行指定的安全组包含其中与 apiserver 公网访问相关的规则。

(3) 若需 Worker 支持公网访问,请勾选 CCE Worker 附加安全组,或者确保自行指定的安全组包含其中与公网访问相关的规则。

(4) 若需 Worker 支持 IPv6,请勾选 CCE Worker 附加安全组,或者确保自行指定的安全组包含其中与 IPv6 相关的规则。


CCE 安全组规则

CCE Master 默认安全组规则

方向 协议 网段 端口 IP 类型 策略 备注
入站 ALL 10.0.0.0/8 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
入站 ALL 172.16.0.0/12 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
入站 ALL 192.168.0.0/16 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
出站 ALL ALL 1-65535 IPv4 允许 CCE默认规则: 出向全通

CCE Master 附加安全组规则

方向 协议 网段 端口 IP 类型 策略 备注
入站 tcp ALL 6443 IPv4 允许 CCE可选规则: 开放 apiserver 公网访问

CCE Worker 默认安全组规则

方向 协议 网段 端口 IP 类型 策略 备注
入站 ALL 10.0.0.0/8 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
入站 ALL 172.16.0.0/12 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
入站 ALL 192.168.0.0/16 1-65535 IPv4 允许 CCE默认规则: 节点间内网通信
入站 ALL 100.64.230.0/24 1-65535 IPv4 允许 CCE默认规则: 与隐藏子网节点内网通信
入站 ALL ALL 30000-32768 IPv4 允许 CCE默认规则: 外部用户 K8s NodePort 默认范围
入站 ALL ALL 8000-9000 IPv4 允许 CCE默认规则: 内部用户 K8s NodePort 默认范围
出站 ALL ALL 1-65535 IPv4 允许 CCE默认规则: 出向全通

CCE Worker 附加安全组规则

方向 协议 网段 端口 IP 类型 策略 备注
入站 tcp ALL 22 IPv4 允许 CCE可选规则: 公网 SSH 登录
入站 icmp ALL 不涉及 IPv4 允许 CCE可选规则: 公网 ping 命令
入站 ALL VPC IPv6 CIDR 1-65535 IPv6 允许 CCE可选规则: 节点内网 IPv6 互通
入站 ALL fc00::/7 1-65535 IPv6 允许 CCE可选规则: 容器网段互通, 容器 IPv6 地址网段
入站 ALL ALL 30000-32768 IPv6 允许 CCE可选规则: 外部用户 K8s NodePort 默认范围
入站 ALL ALL 8000-9000 IPv6 允许 CCE可选规则: 内部用户 K8s NodePort 默认范围
出站 ALL ALL 1-65535 IPv6 允许 CCE可选规则: IPv6 出向全通
相似文档
  • 百度智能云容器引擎服务 CCE 集群快照
    您可以为集群内的K8S资源创建一个集群快照。集群快照会将集群内所有K8S资源(不包括secret资源)保存为yaml、json两种格式。 前提条件: 您已成功创建一个 Kubernetes 集群,详情请见创建集群。 限制说明: 可使用集群快照对集群内K8S资源进行备份、下载,暂不支持使用快照恢复。
  • 百度智能云容器引擎服务 CCE 添加节点
    您可以为已创建的 Kubernetes 集群手动添加工作节点,以达到扩容集群资源的目的,不支持控制节点。 前提条件: 您已成功创建一个 Kubernetes 集群,详情请参见创建集群。 操作步骤: 登录百度智能云官网,并进入管理控制台。 选择“产品服务 > 云原生 > 容器引擎 CCE”,进入 集群管理 > 集群列表 。
  • 百度智能云容器引擎服务 CCE 移出节点
    若您不在需要节点在集群中工作时,您可以将节点移出以降低成本,不支持移出控制节点。 前提条件: 您已成功创建一个 Kubernetes 集群,详情请参见创建集群。 使用说明: 移出节点可能会导致集群无法为容器提供足够的 CPU 和内存资源,请谨慎操作。
  • 百度智能云容器引擎服务 CCE 设置节点封锁
    您可以通过设置节点封锁来控制节点的调度状态,从而控制节点是否能够调度上 Pod。 使用说明: 节点开启封锁后,将不允许新的 Pod 调度到该节点上,若希望节点能够正常调度上 Pod ,则需要关闭节点封锁。
  • 百度智能云容器引擎服务 CCE 设置GPU显存共享
    您可以通过给 GPU 节点设置显存共享,开启显存共享后,节点上的 GPU 资源支持按照显存大小分配给多个容器,从而提高资源利用率。 使用说明: 显存共享设置仅对 GPU 节点生效。 前提条件: 集群已成功安装 CCE GPU Manager 组件。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部