使用 ACL 控制流量
引入“默认安全”网络后,不再建议更改默认网络 ACL。 相反,您可以使用 VPC 安全组来管理网络。
有关“默认情况下的安全”的更多信息,请查看以下链接。
如果您的群集是在 1.29 及更早版本中创建的,请查看以下链接。
ACL 概述
- 应用程序级别
- 虚拟私有云子网
- 缺省行为
- 创建 VPC 时,会以
allow-all-network-acl-<VPC_ID>
格式为 VPC 创建默认 ACL。 ACL 包含允许进出子网的所有流量的入站规则和出站规则。 缺省情况下,在 VPC 中创建的任何子网都会连接到此 ACL。 ACL 规则按特定顺序应用。 通过创建入站或出站规则在一个方向上允许流量时,还必须为相反方向的响应创建规则,因为不会自动允许响应。 - 用例
- 如果要指定允许流至 VPC 子网上工作程序节点的流量,那么可以为 VPC 中的每个子网创建定制 ACL。 例如,可以创建以下这组 ACL 规则来阻止集群的大多数入站和出站网络流量,同时允许集群正常运行所需的通信。
- 限制
- 如果在一个 VPC 中创建使用相同子网的多个群集,则无法使用 ACL 控制群集之间的流量,因为它们共享相同的子网。 您可以使用 Calico 网络策略来隔离专用网络上的集群。
如果创建自定义 ACL,则只允许 ACL 规则中指定的网络流量进出 VPC 子网。 对于 ACL 中未指定的其他所有流量,将阻止其进出子网,例如与第三方服务的集群集成。