场景描述

很多金融或其他领域的业务场景对网络安全要求很高，不允许计算资源有出入vpc网络环境的权限，但是由于当前阿里云大量服务组件的openapi都是只能以公网方式访问，而且ACK（阿里云容器服务kubernetes版）因为需要通过对接openapi和其他云服务及基础设施打通，所以ACK集群网络需要通过SNAT的配置具备出公网的权限（不需要入），如果我们当前的业务需求不允许有出公网的权限，同时我们又希望能很好的使用ACK服务及ACK对接的周边云服务，那么我们可以参考下面的方法来实现。

解决思路

通过云防火墙规则的配置，放行ACK集群所关联的SNAT的eip对阿里云openapi的访问，并拒绝非阿里云openapi相关的公网访问。

创建ACK集群

在ACK控制台上，按照常规方法进行ACK集群的创建，如果集群网络中没有SNAT访问，我们可以自行