一、安全组出站端口配置建议

以阿里云为例，都是相似的：

图中数据都是假的处理过的，仅供参考

• kubelet监听的端口是1-65535之间随机的，这个段要放通（集群的节点的IP，节点管理->节点）
  

• 集群信息->集群资源->APIServer 负载均衡（SLB）端口也用1-65535
  
  

• 集群内容器服务ip+端口，可以直接设置0.0.0.0/0，放行容器中使用到的端口（80、443、数据库等待端口），这样阿里云服务对应端口也都放行了
  
  上述配置完成后可以正常访问服务。

二、入口限制

• 集群->基本信息->Pod 网络 CIDR需要释放所有端口，所有协议
• 剩下的就是业务系统需要放行的端口

三、阿里云特定云服务

ecs-cn-hangzhou.aliyuncs.com-------ecs控制台

vpc.cn-hangzhou.aliyuncs.com------vpc控制台

slb.cn-hangzhou.aliyuncs.com-------slb控制台

location-readonly.aliyuncs.com-----不用加了，已关闭

location.aliyuncs.com------不用加了，已关闭

pvtz.cn-hangzhou.aliyuncs.com----云解析

cs.cn-hangzhou.aliyuncs.com----容器服务

nas.cn-hangzhou.aliyuncs.com-----nas存储

oss-cn-hangzhou.aliyuncs.com—oss存储

cr.cn-hangzhou.aliyuncs.com—镜像服务

metrics.cn-hangzhou.aliyuncs.com----集群监控组件

ess.cn-hangzhou.aliyuncs.com-----伸缩组

eci.cn-hangzhou.aliyuncs.com-----弹性容器实例

alidns.cn-hangzhou.aliyuncs.com----dns服务

sls.cn-hangzhou.aliyuncs.com—日志服务

arms.cn-hangzhou.aliyuncs.com----网格管理

阿里云域名产品的 80/443都放通一下

四、问题解决思路

因阿里紧急工单，其实提交后也很慢，工单还是要提的，可以自己先分析

1、入站方向

集群中增加安全组，配置好入站，测试业务安全组无法正常访问？

容器中ping域名无法ping通，ip可以ping通，则是集群dns域名无法解析的问题，集群安全组配置Pod 网络 CIDR即可解决