云服务器之安全组之三_容器服务安全组快速指南

原文地址

容器服务安全组规则

2月28号之后创建容器服务集群,默认创建的安全组已经做了加固,开放的规则如下

VPC安全组:

经典网络安全组(公网入方向和内网入方向):

注意

  1. 443端口和80端口可以根据自己的需求选择放开或者关闭。
  2. ICMP规则建议保留,方便排查问题。有些工具也依赖ICMP
  3. 容器服务依赖22和2376端口对机器初始化,请务必保留这两条规则。

老集群的安全组规则

2月28之前创建的集群,安全组规则开的比较大,以经典网络安全组规则为例

如果希望收紧规则,可以参考前面安全组的配置。步骤如下

  1. 在内网入方向和公网入方向添加允许ICMP规则
  2. 如果直接访问VM的80端口和443端口,或者其他端口,增加内网和公网规则,放开此端口。**务必确保放开所有你需要的端口,否则会导致服务不可访问。通过SLB访问的端口不需要放开。**
  3. 删除地址段0.0.0.0端口-1/-1的公网入规则和内网入规则。

下面的内容按兴趣阅读

安全配置原则

  1. 每个集群一个安全组。 容器服务每个集群都管理了一个安全组。您可以在这个安全组上配置规则。不要把机器添加到其他安全组里。
  2. 最小权限原则 安全组只对外开放最小的权限。
  3. 经典网络安全组规则区分公网和内网 按照最小权限原则,只在需要的网络类型上增加规则。默认情况下,安全组内的机器都可以相互通信,所以如果要增加内网入方向的规则,必须明确为什么要添加,是否需要给安全组外的ECS访问。
  4. 容器服务默认添加的规则。 为了方便用户操作机器,容器服务创建的安全组添加了一些默认规则,开放了诸如80/443等端口。如果不需要,您可以删除这些规则。( 不要屏蔽22和2376端口。容器服务需要通过这两个端口初始化机器 )
  5. 尽量使用容器内部网络进行通信,不将通信暴露到宿主机上
  6. 授权其他ECS机器访问安全组,授权给安全组,而非单个IP。 要授权其他机器访问当前安全组,先创建一个新安全组,把要访问当前安全组的机器加入新安全组。再授权新安全组访问当前安全组。
  7. 优先使用VPC网络,如非必要,节点不要绑定EIP VPC网络的隔离性更好。
  8. VPC内网出/入方向里要放开容器的网段。 如果不放开,会导致容器之间网络不通。

原文地址

时间: 2024-10-27 18:57:25

云服务器之安全组之三_容器服务安全组快速指南的相关文章

云服务器之安全组之一_好玩的安全组

原文地址 根据好多的小伙伴反应,阿里的安全组规则是个什么鬼啊,怎么还这么麻烦,把端口啥的都给我开好,剩下的我搭建好网站就行,你看别的服务商就这样,我就问一句安全吗? 用啥开啥,是保障网站安全的一个很重要的前提,这就跟话多得罪人一样,总会有口误的时候.. 下面看看怎么玩吧   安全规则分为入方向和出方向 入就行进来,出就是数据出去 那么我们网站需要80断开网页访问  就要开这个端口  其他的也是 需要21 FTP端口就开 说了入出方向,那么就是他们是允许还是拒绝进入,这样就可以防止目前一些病毒传播

加分二叉树_解题报告_SSL1033_2003年分区联赛提高组之三_树形dp

Description 设一个n个节点的二叉树tree的中序遍历为(l,2,3,-,n),其中数字1,2,3,-,n为节点编号.每个节点都有一个分数(均为正整数),记第j个节点的分数为di,tree及它的每个子树都有一个加分,任一棵子树subtree(也包含tree本身)的加分计算方法如下: subtree的左子树的加分× subtree的右子树的加分+subtree的根的分数 若某个子树为主,规定其加分为1,叶子的加分就是叶节点本身的分数.不考虑它的空 子树. 试求一棵符合中序遍历为(1,2,

云服务器之安全组之二_安全组规则的备份与还原

原文地址 一般来说安全组包含了很多规则,这些规则共同决定了安全组中的ECS实例开放和关闭了哪些大门,重要性不言而喻:当安全组中的规则和加入的ECS实例越来越多,安全组规则的维护愈发困难,不敢删不敢改,牵一发而动全身:同样,随着业务的发展,需要在不同地域部署时,同样的配置要在另一个地域再设置一遍,重复劳动.有没有办法解决这些问题? 克隆安全组(备份) 功能简介 创建出一个新的安全组,其中包含的安全组规则与克隆目标完全一致.支持跨地域克隆,并且可以在克隆时变更网络类型,可用于安全组及其规则的备份,在

阿里云宣布 Serverless 容器服务 弹性容器实例 ECI 正式商业化

摘要: 阿里云宣布弹性容器实例 ECI(Elastic Container Instance)正式商业化,ECI 是阿里云践行普惠的云计算理念,将 Serverless 和 Container 技术结合,提供的一款敏捷安全的Serverless容器运行服务. 1月2日,阿里云宣布弹性容器实例 ECI(Elastic Container Instance)正式商业化,ECI 是阿里云践行普惠的云计算理念,将 Serverless 和 Container 技术结合,提供的一款敏捷安全的Serverl

阿里云容器服务与 ASP.NET Core 的 Docker 部署:用 docker secrets 保存 appsettings.Production.json

这是我们使用阿里云容器服务基于 docker 容器部署 asp.net core 应用遇到的另一个问题 —— 如果将包含敏感信息的应用配置文件 appsettings.Production.json 传递给运行在容器中的 asp.net core 应用. Docker 针对这样的应用场景已经提供了解决方案 —— Docker Secrets,对应的 docker 命令是 docker secret .我们就用 docker secrets 解决了这个问题,在这篇随笔中分享一下. 首先在阿里云容器

在阿里云容器服务上开发基于Docker的Spring Cloud微服务应用

本文为阿里云容器服务Spring Cloud应用开发系列文章的第一篇. 一.在阿里云容器服务上开发Spring Cloud微服务应用(本文) 二.部署Spring Cloud应用示例 三.服务发现 四.服务间通信与集成 五.服务智能路由 六.集中配置管理 七.高可用和容错 八.监控和日志 九.服务的部署和发布策略 微服务概述 单体应用通常指在一个程序中满足多个业务或技术领域的需求,不同的需求领域内化为模块.假定我们要开发一个Web应用,通常的MVC模式可以满足要求.针对不同领域有不少代码生成工具

品尝阿里云容器服务:初步尝试ASP.NET Core Web API站点的Docker自动化部署

部署场景是这样的,我们基于 ASP.NET Core 2.0 Preview 1 开发了一个用于管理缓存的 Web API ,想通过阿里云容器服务基于 Docker 部署为内网服务. 在这篇博文中分享一下经过实践验证的操作步骤: 一.创建与配置集群 1)首先创建一个 Swarm Mode 的集群(注意创建时不要选择“自动创建负载均衡”,因为我们部署的是内网服务,自动创建的是公网负载均衡,需要手动创建内网负载均衡并绑定到集群): 2)集群创建成功后,会在集群列表中显示下面的信息: 3)接着创建一个

品尝阿里云容器服务:用nginx镜像创建容器,体验基于域名的路由机制

在前一篇博文中我们了解了阿里云容器服务的路由机制: 请求 -> 负载均衡80端口 -> 容器主机9080端口 -> acsrouting路由容器80端口 --基于域名--> Web站点容器端口 在这篇博文中,我们用nginx镜像创建一个容器实际体验一下. 使用容器服务首先要创建一个集群(Cluster),比如这里我们创建一个名叫websites的集群(使用的是swarm mode): 创建好集群后,点击“管理”,进入集群管理页面 -> “负载均衡” -> “域名设置”,

腾讯云容器服务的滚动升级使用简介

版权声明:本文由腾讯云容器服务 原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/216046001482723263 来源:腾云阁 https://www.qcloud.com/community 作者介绍:于广游 腾讯云后台开发工程师 欢迎加入腾讯云容器服务QQ交流群434653499  1.什么是滚动升级 滚动升级是一种多副本服务的升级方式,其特点是能够保证升级过程中服务不中断,对外界无感知.其原理大致为循环的执行以