配置集群API Server的訪問控制策略
ACK集群創(chuàng)建時會為API Server自動創(chuàng)建一個私網(wǎng)CLB實例,作為集群API Server的內(nèi)網(wǎng)連接端點。如需精準(zhǔn)地訪問并控制API Server,您可以對該私網(wǎng)CLB實例的6443端口監(jiān)聽(Listener)配置訪問控制,即設(shè)置訪問白名單或者黑名單。本文介紹如何通過配置私網(wǎng)CLB的監(jiān)聽實現(xiàn)API Server的訪問控制。
背景信息
負(fù)載均衡提供監(jiān)聽級別的訪問控制。您可以在創(chuàng)建監(jiān)聽時配置訪問控制,也可以在監(jiān)聽創(chuàng)建后修改或重新配置訪問控制。更多信息,請參見訪問控制。
如您希望配置公網(wǎng)CLB實例的監(jiān)聽,可以通過添加公網(wǎng)的IP地址實現(xiàn)訪問控制。步驟與下文類似。
操作步驟
您可以針對不同的監(jiān)聽設(shè)置訪問白名單或黑名單,只允許特定IP訪問或限制某些特定IP訪問。
登錄容器服務(wù)管理控制臺,在左側(cè)導(dǎo)航欄選擇集群。
在集群列表頁面,單擊目標(biāo)集群名稱,然后在左側(cè)導(dǎo)航欄,選擇集群信息。
在集群信息頁面,單擊基本信息頁簽,然后在集群信息區(qū)域,找到并單擊API Server內(nèi)網(wǎng)連接端點右側(cè)的設(shè)置訪問控制。
在負(fù)載均衡控制臺跳轉(zhuǎn)的面板中,打開啟用訪問控制開關(guān),然后配置訪問控制方式和訪問控制策略組,然后單擊確定。
在開啟訪問控制之前,您需要創(chuàng)建訪問控制策略。關(guān)于如何創(chuàng)建訪問控制策略組,請參見創(chuàng)建訪問控制策略組。關(guān)于如何啟用訪問控制,請參見開啟訪問控制。
重要訪問控制策略中,您必須放行如下網(wǎng)段。
容器服務(wù) Kubernetes 版管控的網(wǎng)段100.104.0.0/16。
集群專有網(wǎng)絡(luò)VPC的主網(wǎng)段及附加網(wǎng)段(如有),或集群節(jié)點所在的交換機(jī)vSwitch網(wǎng)段。
其他需訪問API Server連接端點的客戶端出口網(wǎng)段。
ACK Edge集群還需放行邊緣節(jié)點出口網(wǎng)段。
ACK靈駿集群還需放行靈駿VPD網(wǎng)段。
配置訪問控制策略白名單時,務(wù)必將以上放行網(wǎng)段添加到白名單;配置訪問控制策略黑名單時,請勿將以上放行網(wǎng)段添加到黑名單。