IBM Cloud Docs
使用 ACL 控制流量

使用 ACL 控制流量

引入“默认安全”网络后,不再建议更改默认网络 ACL。 相反,您可以使用 VPC 安全组来管理网络。

有关“默认情况下的安全”的更多信息,请查看以下链接。

如果您的群集是在 1.29 及更早版本中创建的,请查看以下链接。

ACL 概述

应用程序级别
虚拟私有云子网
缺省行为
创建 VPC 时,会以 allow-all-network-acl-<VPC_ID> 格式为 VPC 创建默认 ACL。 ACL 包含允许进出子网的所有流量的入站规则和出站规则。 缺省情况下,在 VPC 中创建的任何子网都会连接到此 ACL。 ACL 规则按特定顺序应用。 通过创建入站或出站规则在一个方向上允许流量时,还必须为相反方向的响应创建规则,因为不会自动允许响应。
用例
如果要指定允许流至 VPC 子网上工作程序节点的流量,那么可以为 VPC 中的每个子网创建定制 ACL。 例如,可以创建以下这组 ACL 规则来阻止集群的大多数入站和出站网络流量,同时允许集群正常运行所需的通信。
限制
如果在一个 VPC 中创建使用相同子网的多个群集,则无法使用 ACL 控制群集之间的流量,因为它们共享相同的子网。 您可以使用 Calico 网络策略来隔离专用网络上的集群。

如果创建自定义 ACL,则只允许 ACL 规则中指定的网络流量进出 VPC 子网。 对于 ACL 中未指定的其他所有流量,将阻止其进出子网,例如与第三方服务的集群集成。