云服务器之安全组之三_容器服务安全组快速指南
2017-07-03 00:00
344 查看
摘要: 提高容器服务的安全性
原文地址
ICMP规则建议保留,方便排查问题。有些工具也依赖ICMP
容器服务依赖22和2376端口对机器初始化,请务必保留这两条规则。
如果希望收紧规则,可以参考前面安全组的配置。步骤如下
在内网入方向和公网入方向添加允许ICMP规则
如果直接访问VM的80端口和443端口,或者其他端口,增加内网和公网规则,放开此端口。**务必确保放开所有你需要的端口,否则会导致服务不可访问。通过SLB访问的端口不需要放开。**
删除地址段
最小权限原则 安全组只对外开放最小的权限。
经典网络安全组规则区分公网和内网 按照最小权限原则,只在需要的网络类型上增加规则。默认情况下,安全组内的机器都可以相互通信,所以如果要增加内网入方向的规则,必须明确为什么要添加,是否需要给安全组外的ECS访问。
容器服务默认添加的规则。 为了方便用户操作机器,容器服务创建的安全组添加了一些默认规则,开放了诸如80/443等端口。如果不需要,您可以删除这些规则。( 不要屏蔽22和2376端口。容器服务需要通过这两个端口初始化机器 )
尽量使用容器内部网络进行通信,不将通信暴露到宿主机上
授权其他ECS机器访问安全组,授权给安全组,而非单个IP。 要授权其他机器访问当前安全组,先创建一个新安全组,把要访问当前安全组的机器加入新安全组。再授权新安全组访问当前安全组。
优先使用VPC网络,如非必要,节点不要绑定EIP VPC网络的
隔离性更好。
VPC内网出/入方向里要放开容器的网段。 如果不放开,会导致容器之间网络不通。
原文地址
原文地址
容器服务安全组规则
2月28号之后创建容器服务集群,默认创建的安全组已经做了加固,开放的规则如下VPC安全组:
经典网络安全组(公网入方向和内网入方向):
注意
443端口和80端口可以根据自己的需求选择放开或者关闭。ICMP规则建议保留,方便排查问题。有些工具也依赖ICMP
容器服务依赖22和2376端口对机器初始化,请务必保留这两条规则。
老集群的安全组规则
2月28之前创建的集群,安全组规则开的比较大,以经典网络安全组规则为例如果希望收紧规则,可以参考前面安全组的配置。步骤如下
在内网入方向和公网入方向添加允许ICMP规则
如果直接访问VM的80端口和443端口,或者其他端口,增加内网和公网规则,放开此端口。**务必确保放开所有你需要的端口,否则会导致服务不可访问。通过SLB访问的端口不需要放开。**
删除地址段
0.0.0.0端口
-1/-1的公网入规则和内网入规则。
下面的内容按兴趣阅读
安全配置原则
每个集群一个安全组。 容器服务每个集群都管理了一个安全组。您可以在这个安全组上配置规则。不要把机器添加到其他安全组里。最小权限原则 安全组只对外开放最小的权限。
经典网络安全组规则区分公网和内网 按照最小权限原则,只在需要的网络类型上增加规则。默认情况下,安全组内的机器都可以相互通信,所以如果要增加内网入方向的规则,必须明确为什么要添加,是否需要给安全组外的ECS访问。
容器服务默认添加的规则。 为了方便用户操作机器,容器服务创建的安全组添加了一些默认规则,开放了诸如80/443等端口。如果不需要,您可以删除这些规则。( 不要屏蔽22和2376端口。容器服务需要通过这两个端口初始化机器 )
尽量使用容器内部网络进行通信,不将通信暴露到宿主机上
授权其他ECS机器访问安全组,授权给安全组,而非单个IP。 要授权其他机器访问当前安全组,先创建一个新安全组,把要访问当前安全组的机器加入新安全组。再授权新安全组访问当前安全组。
优先使用VPC网络,如非必要,节点不要绑定EIP VPC网络的
隔离性更好。
VPC内网出/入方向里要放开容器的网段。 如果不放开,会导致容器之间网络不通。
原文地址
相关文章推荐
- Linux服务器装机安全快速进阶指南
- Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口
- [转贴]CVS服务器快速指南
- CVS服务器快速指南
- CVS服务器快速指南
- CVS服务器快速指南
- SOA快速指南 1 2 3,第 3 部分: 服务实现及架构设计
- WINDOWS服务器安全-HTTP服务的安全
- SOA快速指南之服务实现及架构设计
- 服务和服务帐户安全规划指南
- 服务和服务帐户安全规划指南
- 在Linux下如何快速搭建安全的FTP服务器
- SOA 快速指南 1 2 3,第 2 部分: 服务建模---IBM DeveloperWorks学习笔记(三)
- CVS服务器快速指南
- Web服务器安全完全指南
- Windows 2003服务器A级BT安全配置指南
- Linux拨号服务快速指南
- 网路游侠:网站服务器安全指南(初级版)Build 20090322