容器服务安全组快速指南

容器服务安全组规则

2月28号之后创建容器服务集群,默认创建的安全组已经做了加固,开放的规则如下

VPC安全组:

经典网络安全组(公网入方向和内网入方向):

注意

  1. 443端口和80端口可以根据自己的需求选择放开或者关闭。
  2. ICMP规则建议保留,方便排查问题。有些工具也依赖ICMP

老集群的安全组规则

2月28之前创建的集群,安全组规则开的比较大,以经典网络安全组规则为例

如果希望收紧规则,可以参考前面安全组的配置。步骤如下

  1. 在内网入方向和公网入方向添加允许ICMP规则
  2. 如果直接访问VM的80端口和443端口,或者其他端口,增加内网和公网规则,放开此端口。务必确保放开所有你需要的端口,否则会导致服务不可访问。通过SLB访问的端口不需要放开。
  3. 删除地址段0.0.0.0端口-1/-1的公网入规则和内网入规则。

下面的内容按兴趣阅读

安全配置原则

  1. 每个集群一个安全组。

    容器服务每个集群都管理了一个安全组。您可以在这个安全组上配置规则。不要把机器添加到其他安全组里。
  2. 最小权限原则 
    安全组只对外开放最小的权限。
  3. 经典网络安全组规则区分公网和内网 
    按照最小权限原则,只在需要的网络类型上增加规则。默认情况下,安全组内的机器都可以相互通信,所以如果要增加内网入方向的规则,必须明确为什么要添加,是否需要给安全组外的ECS访问。
  4. 容器服务默认添加的规则。 
    为了方便用户操作机器,容器服务创建的安全组添加了一些默认规则,开放了诸如80/443等端口。如果不需要,您可以删除这些规则。
  5. 尽量使用容器内部网络进行通信,不将通信暴露到宿主机上
  6. 授权其他ECS机器访问安全组,授权给安全组,而非单个IP。 
    要授权其他机器访问当前安全组,先创建一个新安全组,把要访问当前安全组的机器加入新安全组。再授权新安全组访问当前安全组。
  7. 优先使用VPC网络,如非必要,节点不要绑定EIP 
    VPC网络的隔离性更好。
  8. VPC内网出/入方向里要放开容器的网段。 
    如果不放开,会导致容器之间网络不通。
时间: 2024-10-09 06:56:45

容器服务安全组快速指南的相关文章

容器服务VPC网络使用指南

前言 在使用容器服务的过程中,很多场景下需要使用到VPC网络.但是,目前在用户跟踪过程中发现,大家对于VPC网络的使用存在一点的误区,偶尔会导致一些意外情况的发生,导致使用受挫.该篇文章不会去详细介绍VPC网络的原理,只从容器服务使用VPC网络的角度来介绍如何在容器服务中正确的使用VPC网络以及相应的注意事项. 准备 VPC网段 为了可以顺利的在容器服务中创建VPC的容器集群,首先我们需要根据实际的情况规划网络.创建VPC网络的时候,您必须指定对应的CIDR来划分对应的子网,如果想了解更多的关于

使用阿里云容器服务Jenkins实现持续集成和Docker镜像构建(updated on 2017.3.3)

持续集成作为敏捷开发重要的一步,其目的在于让产品快速迭代的同时,尽可能保持高质量.每一次代码更新,都要通过自动化测试来检测代码和功能的正确性,只有通过自动测试的代码才能进行后续的交付和部署.本文主要介绍如何将时下最流行的持续集成工具之一的Jenkins结合阿里云容器服务,实现自动测试和镜像构建推送. 接下来的演示是如何通过阿里云容器服务Jenkins实现自动测试和Docker镜像构建,实现高质量的持续集成.具体场景:每次代码提交到GitHub上的nodejs的项目中,阿里云容器服务Jenkins

在阿里云容器服务上创建一个使用Redis的Python应用

使用容器服务可以方便快速的创建应用,下面的例子展示如何在容器服务上创建一个使用Redis的Python应用,只需要简单的几步. 第一步:准备代码 由于只是一个例子,所以我不可能使用太复杂的应用代码. app.py from flask import Flask from redis import Redis app = Flask(__name__) redis = Redis(host='redis', port=6379) @app.route('/') def hello(): redis

容器服务--如何在阿里云容器服务上运行基于TensorFlow的Alexnet

AlexNet是2012年由Alex Krizhevsky使用五层卷积.三层完全连接层开发的CNN网络,并赢得了ImageNet竞赛(ILSVRC).AlexNet 证明了CNN在分类问题上的有效性(15.3%错误率),而此前的图片识别错误率高达25%.这一网络的出现对于计算机视觉在深度学习上的应用具有里程碑意义. AlexNet也是深度学习框架常用的性能指标工具,TensorFlow就提供的alexnet_benchmark.py可以测试GPU和CPU上的性能.我们尝试基于AlexNet在阿里

使用阿里云容器服务Jenkins实现持续集成之GitLab篇

前面有篇文章<使用阿里云容器服务Jenkins实现持续集成和Docker镜像构建>详细地描述了如何通过阿里云容器服务平台,快速创建Jenkins应用,结合GitHub实现持续集成和镜像构建.这次将使用阿里云容器服务搭建GitLab作为代码管理仓库,最后使用Jenkins插件aliyun-container-service-deploy实现部署应用,并支持蓝绿发布和标准发布两种发布策略. 1.部署Jenkins和Slave 1.1使用编排模板一键部署 阿里云容器服务的示例模板中已经内置支持了Je

Docker常见故障排查指南 - 阿里云容器服务

对于Docker的初学者而言,当容器或应用出现了问题不知从何入手进行排查.为此,我们准备了一个简单指南来帮助阿里云容器服务的用户进行故障排查. 由于阿里云容器服务完全兼容Docker Swarm,并支持使用原生Docker Client/API,所以很多内容对于 Docker/Docker Swarm的用户也是适用的. Docker问题分类 我们可以把Docker在使用中的问题分为如下几类, 安装故障:Docker Engine 无法正常配置使用 应用故障:应用执行状态与预期不一致 容器故障:无

阿里云容器服务-高可用Kubernetes部署指南

Kubernetes是非常流行的容器管控技术,为了让Kubernetes可以更深度集成阿里云的计算.存储和网络服务,以提供更佳的性能和网络特性支持,阿里云容器服务团队为Kubernetes提供了基于阿里云服务的CloudProvider插件. 同时,基于阿里云资源编排服务ROS的应用部署能力,阿里云用户可以非常方便的快速部署Kubernetes集群.本文接下来会详细介绍部署过程. 依赖条件 需要事先开通访问控制RAM服务,访问https://ram.console.aliyun.com点击开通服

建立你自己的 CA 服务:OpenSSL 命令行 CA 操作快速指南

建立你自己的 CA 服务:OpenSSL 命令行 CA 操作快速指南 这些是关于使用 OpenSSL 生成证书授权(CA).中间证书授权和末端证书的速记随笔,内容包括 OCSP.CRL 和 CA 颁发者信息,以及指定颁发和有效期限等. 我们将建立我们自己的根 CA,我们将使用根 CA 来生成一个中间 CA 的例子,我们将使用中间 CA 来签署末端用户证书. 根 CA 创建根 CA 授权目录并切换到该目录: mkdir ~/SSLCA/root/ cd ~/SSLCA/root/ 为我们的根 CA

容器服务之快速搭建使用阿里云rds的wordpress网站

登录容器服务控制台,创建好集群,如果用户已有ECS机器,可以创建0节点的集群,然后将已有机器加入集群. 登录容器服务控制台,选择侧边栏的应用,在下拉框选择相应的集群,选择创建应用 填写应用名称,本例为wordpress-rds, 选择使用编排模板创建 在编辑框中输入以下编排模板请注意将WORDPRESS_DB_USER修改为您数据库用户名,将WORDPRESS_DB_PASSWORD修改为您数据库的密码,将WORDPRESS_DB_NAME修改为您数据库的名称,同时将db服务下面的host修改为