tencent cloud

TKE 보안 그룹 설정
마지막 업데이트 시간:2024-12-03 19:10:04
TKE 보안 그룹 설정
마지막 업데이트 시간: 2024-12-03 19:10:04
보안은 항상 가장 중요합니다. Tencent Cloud는 제품 설계에서 보안을 우선시하며 모든 제품이 완전히 격리되도록 엄격하게 요구합니다. Tencent Cloud 클래식 네트워크는 여러 계층의 보안 보호를 제공합니다. Tencent Kubernetes Engine(TKE)도 보안에 특별한 주의를 기울입니다. TKE는 더 풍부한 네트워크 기능을 가진 VPC를 기본 네트워크로 선택합니다. 본문은 가장 적절한 보안 그룹 정책을 선택하는 데 도움이 되는 TKE에서 보안 그룹을 사용하는 모범 사례를 설명합니다.

보안 그룹

보안 그룹은 스테이트풀 데이터 패킷 필터링을 위한 가상 방화벽입니다. Tencent Cloud에서 제공하는 중요한 네트워크 격리 접근 방식으로 보안 그룹은 하나 이상의 Cloud Virtual Machine(CVM)에 대한 네트워크 액세스 제어를 설정하는 데 사용됩니다. 보안 그룹에 대한 자세한 내용은 보안 그룹을 참고하십시오.

TKE에 대한 보안 그룹을 선택하는 방법

컨테이너 클러스터에서 서비스 포드는 서로 다른 노드에 분산됩니다. 한 클러스터의 모든 CVM 인스턴스를 동일한 보안 그룹에 바인딩하고 클러스터되지 않은 CVM을 클러스터의 보안 그룹에 추가하지 않는 것이 좋습니다.
보안 그룹은 외부적으로 최소한의 권한만 부여합니다.
TKE를 사용하려면 다음 규칙을 활성화해야 합니다.
컨테이너 포드 네트워크와 클러스터 노드 네트워크를 인터넷에 개방합니다. 노드가 서비스 액세스 요청을 수신하면 노드는 kube-proxy 모듈에 의해 구성된 iptables 규칙에 따라 요청을 서비스 포드로 포워딩합니다. 서비스 포드가 다른 노드에 있는 경우 노드 간 액세스가 발생합니다. 예를 들어, 접근 요청의 대상 IP 주소에는 서비스 포드의 IP 주소, 클러스터에 있는 다른 노드의 IP 주소, 노드에 있는 클러스터의 cbr0 브리지 IP 주소가 포함됩니다. 이 경우 컨테이너 포드 네트워크와 피어 노드의 클러스터 노드 네트워크는 인터넷에 개방되어 있어야 합니다.
동일한 VPC의 클러스터가 서로 통신해야 하는 경우 해당 클러스터의 컨테이너 네트워크와 노드 네트워크를 인터넷에 개방해야 합니다.
SSH 로그인이 필요한 경우 포트 22를 인터넷에 개방합니다.
노드에서 포트 30000 - 32768을 인터넷에 개방합니다. 액세스 경로에서 CLB를 사용하여 데이터 패킷을 컨테이너 클러스터의 NodeIP:NodePort로 포워딩해야 합니다. NodeIP는 클러스터에 있는 모든 노드의 CVM 인스턴스 IP입니다. NodePort는 서비스가 생성될 때 기본적으로 컨테이너 클러스터에 의해 할당됩니다. NodePort의 범위는 30000 - 32768입니다. 다음 그림은 공용 네트워크에서 서비스 액세스를 예시로 사용합니다.
Public Network CLB Access



TKE에 대한 기본 보안 그룹 규칙

노드에 대한 기본 보안 그룹 규칙

클러스터 노드 간의 정상적인 통신을 위해 일부 포트는 인터넷에 개방되어 있어야 합니다. 잘못된 보안 그룹에 대한 바인딩으로 인한 클러스터 생성 실패를 방지하기 위해 TKE는 다음 표에 설명된 대로 기본 보안 그룹 규칙을 제공합니다.
주의:
현재 기본 보안 그룹이 서비스 요구 사항을 충족할 수 없고 이 보안 그룹에 바인딩된 클러스터를 생성한 경우 클러스터에 대한 보안 그룹 규칙을 보고 수정할 수 있습니다. 자세한 내용은 Managing Security Group Rule을 참고하십시오.

인바운드 규칙

프로토콜
포트 번호
소스 IP 주소
정책
설명
ALL
ALL
컨테이너 네트워크의 CIDR
허용
컨테이너 네트워크의 Pod 간 통신 활성화
ALL
ALL
클러스터 네트워크의 CIDR
허용
클러스터 네트워크의 노드 간 통신 활성화
tcp
30000 - 32768
0.0.0.0/0
허용
Master 노드와 Worker 노드 간의 통신 활성화
udp
30000 - 32768
0.0.0.0/0
허용
Master 노드와 Worker 노드 간의 통신 활성화
icmp
-
0.0.0.0/0
허용
ICMP(Internet Control Message Protocol) 및 ping 작업에 대한 지원 활성화

아웃바운드 규칙

프로토콜
포트 번호
소스 IP 주소
정책
ALL
ALL
0.0.0.0/0
허용
설명:
아웃바운드 규칙을 사용자 정의하려면 노드 IP 범위와 컨테이너 IP 범위를 개방해야 합니다.
컨테이너 노드에 대해 이 규칙을 설정하면 다른 액세스 방법을 사용하여 클러스터의 서비스에 액세스할 수 있습니다.
클러스터의 서비스에 액세스하는 방법에 대한 자세한 내용은 Overview의 Service Access를 참고하십시오.

자체 배포된 클러스터 Master에 대한 기본 보안 그룹 규칙

자체 배포된 클러스터가 생성되면 TKE 기본 보안 그룹은 기본적으로 Master 모델에 바인딩되어 Master와 Node가 정상적으로 통신할 수 없고 클러스터가 생성된 후 Service에 정상적으로 액세스할 수 없는 위험을 줄입니다. 기본 보안 그룹 설정 규칙은 다음과 같습니다.
설명:
보안 그룹 생성 권한은 TKE 서비스 승인에서 설정한 권한과 동일합니다. 자세한 내용은 Description of Role Permissions Related to Service Authorization을 참고하십시오.

인바운드 규칙

프로토콜
포트
IP 대역
정책
설명
ICMP
ALL
0.0.0.0/0
허용
Ping 지원
TCP
30000 - 32768
클러스터 네트워크 CIDR
허용
Master와 Worker 노드 간의 통신 활성화
UDP
30000 - 32768
클러스터 네트워크 CIDR
허용
Master와 Worker 노드 간의 통신 활성화
TCP
60001,60002,10250,2380,2379,53,17443,50055,443,61678
클러스터 네트워크 CIDR
허용
API Server 통신 활성화
TCP
60001,60002,10250,2380,2379,53,17443
컨테이너 네트워크 CIDR
허용
API Server 통신 활성화
TCP
30000 - 32768
컨테이너 네트워크 CIDR
허용
Service 통신 활성화
UDP
30000 - 32768
컨테이너 네트워크 CIDR
허용
Service 통신 활성화
UDP
53
컨테이너 네트워크 CIDR
허용
CoreDNS 통신 활성화
UDP
53
클러스터 네트워크 CIDR
허용
CoreDNS 통신 활성화


아웃바운드 규칙

프로토콜
포트 번호
소스 IP 주소
정책
ALL
ALL
0.0.0.0/0
허용
문제 해결에 도움이 되었나요?
더 자세한 내용은 문의하기 또는 티켓 제출 을 통해 문의할 수 있습니다.
아니오

피드백