全部產品
Search
文件中心

Container Service for Kubernetes:【產品變更】遷移低版本ACK叢集監控連接埠至鑒權連接埠

更新時間:Jun 19, 2024

由於社區版Kubernetes的唯讀容器監控透出存在資訊泄露風險,阿里雲Container ServiceACK 1.26及以上版本的叢集已不再預設開放kubelet容器監控唯讀連接埠(10255),後續統一使用鑒權安全連接埠(10250)。

風險申明

在被攻破叢集節點後,社區版Kubernetes預設開放的kubelet容器監控唯讀連接埠(10255)可能會被擷取部分應用資訊,存在資訊泄露風險。因此,Container ServiceACK 1.26及以上版本的叢集不再預設開放kubelet容器監控唯讀連接埠(10255),後續統一使用鑒權安全連接埠(10250)。

影響範圍

低於1.26版本的ACK叢集,且正在使用或計劃依賴kubelet唯讀連接埠(10255)。

升級遷移監控組件並手動關閉kubelet唯讀連接埠(10255)

如果您的叢集初始版本低於1.26,請升級遷移監控組件,並手動關閉kubelet唯讀連接埠(10255)。

注意事項

若您的叢集存在虛擬節點(ack-virtual-node),或者叢集為版本低於1.26的ACK Serverless叢集,請提交工單聯絡Container Service技術人員關閉10255連接埠。

操作步驟

  1. 登入Container Service管理主控台,在左側導覽列選擇叢集

  2. 叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇營運管理 > 組件管理

  3. 定位並升級相關組件。

    • metrics-server組件:升級至v0.3.9.4-ff225cd-aliyun及以上版本。若您未安裝,則無需處理。

    • ack-arms-prometheus組件:若您的叢集已安裝ack-arms-prometheus組件,升級至1.1.15及以上版本。若您未安裝,則無需處理。

    說明

    此升級過程不會對叢集、應用和現有監控能力產生影響。

  4. 在左側導覽列,選擇節點管理 > 節點池,在節點池列表,按照以下步驟關閉叢集下所有節點池的10255連接埠。

    • 操作列,單擊節點池對應的更多 > Kubelet配置

    • 自訂參數地區,修改參數readOnlyPort的值為0,然後單擊提交,完成10255連接埠的關閉。

      image.png

    重要

    關閉10255連接埠時,請勿在節點上手動修改kubelet參數設定檔/etc/kubernetes/kubelet-customized-args.conf。控制台上節點池kubelet的配置修改會將此設定檔覆蓋。

手動開啟kubelet唯讀連接埠(10255)

若您正在使用或計劃依賴kubelet唯讀連接埠(10255),請充分瞭解並知悉資料安全風險。瞭解後,按需在1.26及以上版本的叢集中通過kubelet參數手動開啟唯讀連接埠(10255)。

操作步驟

  1. 登入Container Service管理主控台,在左側導覽列選擇叢集

  2. 叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇節點管理 > 節點池

  3. 在節點列表的操作列,在節點池列表,按照以下步驟開啟叢集下所有節點池的10255連接埠。

    • 單擊節點池對應的更多 > Kubelet配置

    • 自訂參數地區,修改參數readOnlyPort的值為10255,然後單擊提交,完成10255連接埠的開啟。17.png