云原生網關和后端服務所在的節點分別處于不同安全組內。您可以通過設置安全組規則為云原生網關授予訪問后端服務的權限。
背景信息
安全組是一種虛擬防火墻,用于控制安全組內ECS實例和ENI網卡的入流量和出流量,從而提高ECS實例的安全性。安全組具備狀態檢測和數據包過濾能力,您可以基于安全組的特性和安全組規則的配置在云端劃分安全域,詳情請參見安全組概述。
您在購買云原生網關時需要選擇VPC和安全組類型(建議與后端服務所在安全組類型一致),根據您選擇的安全組類型,云原生網關會創建相應托管安全組管理網關的實例節點。因為云原生網關和后端服務所在的節點分別處于不同安全組內,需要您在后端服務的安全組內為云原生網關授予必要的端口范圍訪問權限。
步驟一:獲取目標服務所在節點的安全組
云原生網關關聯的上游服務,主要包括容器部署和ECS部署。您可以通過以下方式獲取安全組ID。
目標服務部署在容器中
登錄容器服務管理控制臺,在左側導航欄選擇集群。
獲取安全組ID。
容器服務ACK Serverless
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇集群信息。
在集群信息頁面,單擊集群資源頁簽,獲取安全組的ID。
容器服務ACK
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇 。
在節點池頁面,單擊對應的節點,然后單擊基本信息頁簽,獲取安全組的ID。
目標服務部署在ECS上
登錄ECS管理控制臺。
在左側導航欄,選擇 。
在實例頁面,單擊目標服務所部署的ECS實例,然后單擊安全組頁簽,獲取安全組的ID。
步驟二:添加安全組授權規則
登錄MSE網關管理控制臺。
在左側導航欄,選擇云原生網關 > 網關列表,并在頂部菜單欄選擇地域。
在網關列表頁面,單擊目標網關名稱。在左側導航欄單擊基本概覽,然后單擊安全組授權頁簽。
單擊授權安全組,在SecurityGroup ID列的文本框中,粘貼步驟一中獲取的安全組ID,選擇相應的安全組。
輸入安全組授權的端口范圍:起始值/終止值。
可以輸入多個端口范圍,每輸入一個端口范圍單擊回車,即可生效。
單擊保存。
云原生網關會生成對應的規則。
同時目標節點所在的安全組中也會看到在云原生網關創建的安全組規則。
刪除安全組授權規則
登錄MSE網關管理控制臺。
在左側導航欄,選擇云原生網關 > 網關列表,并在頂部菜單欄選擇地域。
在網關列表頁面,單擊目標網關名稱。
在左側導航欄,單擊基本概覽,單擊授權安全組頁簽,然后單擊操作列下方的刪除,單擊確定。
默認只刪除云原生網關的安全組規則,如需將目標節點所在安全組的規則一并刪除,您還需要勾選級聯刪除該安全組內的上述入方向規則。
常見問題
問題一:安全組已經授權,為什么服務還是訪問不通?
您可以按照如下步驟自助排查:
首先需要確認您的目標服務所部署的節點是否正確。
有可能存在服務部署在了A節點上,但是給B節點所在的安全組授權。
您的目標節點是否設置了多個安全組。
如果是多個安全組,建議給每個安全組都授權。
問題二:安全組已經授權,之前網關訪問服務是通的,現在突然間不通了,是什么原因?
您可以按照如下步驟自助排查:
首先確認您的服務本身沒有問題。
您可以對同一安全組內的其他節點使用
curl
命令檢查服務的連通性。確認您發布的服務對外暴露的端口是否有變更。
例如以前端口為8080,在云原生網關只給8080端口授權了,之后又將端口變更為8081,這時需要重新調整云安全組授權規則端口。為了避免這種情況發生,建議您在配置安全組授權時擴大端口范圍,可以將范圍選成1/65535。