跳到主要内容
版本:FCP 24.11

安全组

平台将集群中不同角色的节点分成不同的安全组,不同类别的节点拥有不同的网络访问权限。创建集群时自动创建计算节点、登录/提交节点、头节点三种角色的安全组。在此基础上用户可增加入站(Ingress)规则、控制节点的入站访问权限。同一集群内的安全组默认已相互授权,节点之间可互相访问。安全组负责管理是否放行来自公网或者内网的访问请求。

权限说明

仅管理员能够编辑安全组,普通用户无安全组的编辑权限

安全组限制

  • 为了保障产品易用和良好的用户体验,平台对安全组做了下列限制:

  • 不能新增安全组,安全组随集群一起创建;

  • 不能更改安全组默认规则,可以添加和删除自定义安全组规则;

  • 安全组规则<=30条,不包括各节点类型默认安全组规则;

  • 集群释放后系统会自动删除该集群相关的所有安全组;

  • 任务集群安全组规则不支持增删改

  • 仅支持在平台上修改安全组规则。

注意: 对于通过任务创建的集群,子网安全组有如下限制:使用系统私有子网。

安全组列表

字段说明:

  • 安全组名称:即安全组的名字,它由集群名称与节点类型构成,中间以“_”连接。
  • 安全组类型:它有计算节点、登录/提交节点、头节点三种类型,分别代表计算分区的安全组、登录/提交节点的安全组、头节点的安全组
  • 集群名称:安全组所属集群
  • 入站规则数量:即入站规则数量
  • 用户名:该安全组的创建人

操作:编辑安全组

安全组默认规则

安全组分为两种,出战规则与入站规则。对于安全组的规则,平台设置了默认规则。如果您对安全组无特殊需求,可直接使用默认规则。默认规则如下:

  • 出站规则:不限制,默认全开,用户不可修改。

  • 入站规则:除默认规则以外,入方向将拒绝所有访问。默认的入站规则如下表所示:

类型协议端口
PRIVATEALL-1头节点安全组ID
PRIVATEALL-1计算节点安全组ID
PRIVATEALL-1登录/提交节点安全组ID
PRIVATETCP8020VPC CIDR
PRIVATETCP9400VPC CIDR
PRIVATETCP9182VPC CIDR
PRIVATETCP9100VPC CIDR
PRIVATETCP8060VPC CIDR
PRIVATETCP8040VPC CIDR
PRIVATETCP8010VPC CIDR
PRIVATETCP25057-25058VPC CIDR
PRIVATETCP5000-5001VPC CIDR
PRIVATETCP50023VPC CIDR
PRIVATETCP7000VPC CIDR
PRIVATETCP6817VPC CIDR
PRIVATETCP5900-5999VPC CIDR
PRIVATETCP4003-4004VPC CIDR
PRIVATETCP3389VPC CIDR
PRIVATETCP22VPC CIDR
PRIVATETCP20000.0.0.0/0
PRIVATEALL-1HEAD安全组ID

注意: 对于NONE集群:在集群创建时,将同时创建1个计算节点类型的安全组对于Fsched集群:在集群创建时,将同时创建3种类型登录/提交节点、头节点、计算节点的安全组。在集群释放后,与集群相关联的安全组相应在平台中删除。对于释放的集群,集群关联的安全组仅做展示。

安全组规则列表

字段:

  • 类型:即协议类型,包括以下分类。

    • TCP

    • UDP

    • ICMP

    • SSH(TCP/22)

    • RDP(TCP/3389)

    • 所有:即所有协议

  • PRIVATE:系统默认规则,不可修改、删除

  • 协议:即传输层协议,由选择的类型自动生成。

  • 端口:即协议的端口范围为0-65535。当协议类型为TCP或UDP时,管理员可手动设置端口范围。它支持设置单个端口和端口范围,端口范围以“-”连接,例如8000-9000。当协议选择ALL时,端口显示为-1。

  • 源:即数据流的源IP地址。它支持以下设置方法。

    • IP地址:设置单一IP地址,例如192.168.0.100/32。

    • CIDR地址块:设置IP地址段,例如192.168.0.0/24。

    • 0.0.0.0/0:表示允许所有。

操作:非默认安全组规则的增删改