由於社區版Kubernetes的唯讀容器監控透出存在資訊泄露風險,阿里雲Container ServiceACK 1.26及以上版本的叢集已不再預設開放kubelet容器監控唯讀連接埠(10255),後續統一使用鑒權安全連接埠(10250)。
風險申明
在被攻破叢集節點後,社區版Kubernetes預設開放的kubelet容器監控唯讀連接埠(10255)可能會被擷取部分應用資訊,存在資訊泄露風險。因此,Container ServiceACK 1.26及以上版本的叢集不再預設開放kubelet容器監控唯讀連接埠(10255),後續統一使用鑒權安全連接埠(10250)。
若您的叢集初始版本低於1.26,請您參照本文內容升級遷移監控組件,並手動關閉kubelet唯讀連接埠(10255)。具體操作,請參見升級遷移監控組件並手動關閉kubelet唯讀連接埠(10255)。
若您正在使用或計劃依賴kubelet唯讀連接埠(10255),請充分瞭解並知悉資料安全風險。瞭解後,再按需在1.26及以上版本的叢集中通過kubelet參數手動開啟唯讀連接埠(10255)。具體操作,請參見手動開啟kubelet唯讀連接埠(10255)。
影響範圍
低於1.26版本的ACK叢集,且正在使用或計劃依賴kubelet唯讀連接埠(10255)。
升級遷移監控組件並手動關閉kubelet唯讀連接埠(10255)
如果您的叢集初始版本低於1.26,請升級遷移監控組件,並手動關閉kubelet唯讀連接埠(10255)。
注意事項
若您的叢集存在虛擬節點(ack-virtual-node),或者叢集為版本低於1.26的ACK Serverless叢集,請提交工單聯絡Container Service技術人員關閉10255連接埠。
操作步驟
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇。
定位並升級相關組件。
metrics-server組件:升級至v0.3.9.4-ff225cd-aliyun及以上版本。若您未安裝,則無需處理。
ack-arms-prometheus組件:若您的叢集已安裝ack-arms-prometheus組件,升級至1.1.15及以上版本。若您未安裝,則無需處理。
說明此升級過程不會對叢集、應用和現有監控能力產生影響。
在左側導覽列,選擇,在節點池列表,按照以下步驟關閉叢集下所有節點池的10255連接埠。
在操作列,單擊節點池對應的。
在自訂參數地區,修改參數readOnlyPort的值為
0,然後單擊提交,完成10255連接埠的關閉。
重要關閉10255連接埠時,請勿在節點上手動修改kubelet參數設定檔
/etc/kubernetes/kubelet-customized-args.conf。控制台上節點池kubelet的配置修改會將此設定檔覆蓋。
手動開啟kubelet唯讀連接埠(10255)
若您正在使用或計劃依賴kubelet唯讀連接埠(10255),請充分瞭解並知悉資料安全風險。瞭解後,按需在1.26及以上版本的叢集中通過kubelet參數手動開啟唯讀連接埠(10255)。
操作步驟
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇。
在節點列表的操作列,在節點池列表,按照以下步驟開啟叢集下所有節點池的10255連接埠。
單擊節點池對應的。
在自訂參數地區,修改參數readOnlyPort的值為
10255,然後單擊提交,完成10255連接埠的開啟。