使用仅加固模式访问ECS实例元数据_容器服务 Kubernetes 版 ACK(ACK)-阿里云帮助中心

您可以在 ECS 实例内部通过元数据服务（Metadata Service）获取 ECS 元数据（如实例 ID、VPC 信息、网卡信息等）。在 ACK 集群中，节点的实例元数据访问模式默认为同时兼容普通模式和加固模式。您可以调整为仅加固模式（IMDSv2），进一步增强实例元数据服务的安全性。

使用仅加固模式后，节点上的任何应用都将无法通过普通模式访问 ECS 实例元数据服务。关于 ECS 实例元数据访问模式的详细介绍，请参见实例元数据。

前提条件

如集群内安装了下表中的组件，请确保组件版本为支持仅加固模式的最低版本，且对应的集群版本符合要求。

展开查看

组件名称	组件最低版本要求	集群最低版本要求
cloud-controller-manager	v2.11.3	1.28
terway	v1.9.16	1.30
terway-eni	v1.9.16	1.30
terway-eniip	v1.9.16	1.30
terway-eniip	v1.14.0	1.31
terway-controlplane	v1.9.16	1.30
terway-controlplane	v1.14.0	1.31
ack-erdma-controller	0.2.6	1.28
mse-ingress-controller	1.1.18	1.28
alb-ingress-controller	v2.18.0-aliyun.1	1.28
csi-provisioner	v1.33.3-884df97-aliyun	1.28
csi-plugin	v1.33.3-884df97-aliyun	1.28
storage-operator	v1.32.10	1.28
flexvolume	无支持版本，需迁移至 csi-plugin，请参见迁移Flexvolume至CSI。
kritis-validation-hook	v0.12.0.0-g1535b25b-aliyun	1.28
aliyun-acr-credential-helper	v25.07.21.1-67f1f51-aliyun	1.28
logtail-ds	v2.1.14.0-aliyun	1.28
loongcollector	3.1.1	1.28
metrics-server	v0.3.9.7-85b3699-aliyun	1.28
alicloud-monitor-controller	1.8.8	1.28
ack-node-problem-detector	1.2.27	1.28
arms-prometheus	1.1.33	1.28
ack-cost-exporter	1.0.21	1.28
ack-sysom-monitor	1.1.2	1.28
arms-cmonitor	4.1.2	1.28
ack-onepilot	5.0.0	1.28
cluster-autoscaler	v1.3.18-48f43128-aliyun	1.28
ack-goatscaler	v0.4.5-17c5a32-aliyun	1.28
migrate-controller	v1.8.6-17482bb-aliyun	1.28
ack-acr-acceleration-p2p	0.3.10	1.28
csi-secrets-store-provider-alibabacloud	0.5.0	1.28
ack-secret-manager	0.5.12	1.28
ack-extend-network-controller	v0.12.0	1.28

如集群内已部署了依赖实例元数据服务的应用，设置仅加固模式会导致原来使用普通模式访问元数据的请求被拒绝。请确保已完成应用代码的改造，请参见步骤一：修改应用代码为加固模式访问。
本功能为白名单功能，需已提交工单申请。

本功能仅支持在创建集群的节点池配置过程中或新建节点池时配置。配置完成后，实例元数据访问模式不支持修改。

下文以新建节点池流程为例，与创建集群过程中涉及的核心配置项一致。

可使用的操作系统镜像	最低版本要求
Alibaba Cloud Linux 3.2104 LTS 64位容器优化版	20241226
Alibaba Cloud Linux 3.2104 LTS 64位	20241218
Ubuntu 22.04	20250722