使用仅加固模式访问ECS实例元数据

使用仅加固模式后，节点上的任何应用都将无法通过普通模式访问 ECS 实例元数据服务。关于 ECS 实例元数据访问模式的详细介绍，请参见实例元数据。

前提条件

• 已创建1.28及以上版本的ACK托管集群或ACK专有集群。如需升级，请参见手动升级集群。

• 如集群内安装了下表中的组件，请确保组件版本为支持仅加固模式的最低版本，且对应的集群版本符合要求。

  展开查看

  ACK托管集群

  组件名称	组件最低版本要求	集群最低版本要求
  cloud-controller-manager	v2.11.3	1.28
  terway	v1.9.16	1.30
  terway-eni	v1.9.16	1.30
  terway-eniip	v1.9.16	1.30
  terway-eniip	v1.14.0	1.31
  terway-controlplane	v1.9.16	1.30
  terway-controlplane	v1.14.0	1.31
  ack-erdma-controller	0.2.6	1.28
  mse-ingress-controller	1.1.18	1.28
  alb-ingress-controller	v2.18.0-aliyun.1	1.28
  csi-provisioner	v1.33.3-884df97-aliyun	1.28
  csi-plugin	v1.33.3-884df97-aliyun	1.28
  storage-operator	v1.32.10	1.28
  flexvolume	无支持版本，需迁移至 csi-plugin，请参见迁移Flexvolume至CSI。
  kritis-validation-hook	v0.12.0.0-g1535b25b-aliyun	1.28
  aliyun-acr-credential-helper	v25.07.21.1-67f1f51-aliyun	1.28
  logtail-ds	v2.1.14.0-aliyun	1.28
  loongcollector	3.1.1	1.28
  metrics-server	v0.3.9.7-85b3699-aliyun	1.28
  alicloud-monitor-controller	v1.8.4	1.28
  ack-node-problem-detector	1.2.26	1.28
  arms-prometheus	1.1.32	1.28
  ack-cost-exporter	1.0.18	1.28
  ack-sysom-monitor	1.1.2	1.28
  arms-cmonitor	4.1.2	1.28
  ack-onepilot	5.0.0	1.28
  cluster-autoscaler	v1.3.18-48f43128-aliyun	1.28
  ack-goatscaler	v0.4.5-17c5a32-aliyun	1.28
  migrate-controller	v1.8.6-17482bb-aliyun	1.28
  ack-acr-acceleration-p2p	0.3.10	1.28
  csi-secrets-store-provider-alibabacloud	0.5.0	1.28
  ack-secret-manager	0.5.12	1.28
  ack-extend-network-controller	v0.12.0	1.28

  ACK专有集群

  组件名称	组件最低版本要求	集群最低版本要求
  cloud-controller-manager	v2.11.3	1.28
  terway	v1.9.16	1.30
  terway-eni	v1.9.16	1.30
  terway-eniip	v1.9.16	1.30
  terway-eniip	v1.14.0	1.31
  terway-controlplane	v1.9.16	1.30
  terway-controlplane	v1.14.0	1.31
  ack-erdma-controller	0.2.6	1.28
  mse-ingress-controller	1.1.18	1.28
  alb-ingress-controller	v2.18.0-aliyun.1	1.28
  csi-provisioner	v1.33.3-884df97-aliyun	1.28
  csi-plugin	v1.33.3-884df97-aliyun	1.28
  storage-operator	v1.32.10	1.28
  flexvolume	无支持版本，需迁移至 csi-plugin，请参见迁移Flexvolume至CSI。
  kritis-validation-hook	v0.12.0.0-g1535b25b-aliyun	1.28
  aliyun-acr-credential-helper	v25.07.21.1-67f1f51-aliyun	1.28
  logtail-ds	v2.1.14.0-aliyun	1.28
  loongcollector	3.1.1	1.28
  metrics-server	v0.3.9.7-85b3699-aliyun	1.28
  alicloud-monitor-controller	v1.8.8	1.28
  ack-node-problem-detector	1.2.27	1.28
  arms-prometheus	1.1.33	1.28
  ack-cost-exporter	1.0.21	1.28
  ack-sysom-monitor	1.1.2	1.28
  arms-cmonitor	4.1.2	1.28
  ack-onepilot	5.0.0	1.28
  cluster-autoscaler	v1.3.18-48f43128-aliyun	1.28
  ack-goatscaler	v0.4.5-17c5a32-aliyun	1.28
  migrate-controller	v1.8.6-17482bb-aliyun	1.28
  ack-acr-acceleration-p2p	0.3.10	1.28
  csi-secrets-store-provider-alibabacloud	0.5.0	1.28
  ack-secret-manager	0.5.12	1.28
  ack-extend-network-controller	v0.12.0	1.28

• 如集群内已部署了依赖实例元数据服务的应用，设置仅加固模式会导致原来使用普通模式访问元数据的请求被拒绝。请确保已完成应用代码的改造，请参见实例元数据。

操作步骤

本功能仅支持在创建集群的节点池配置过程中或新建节点池时配置。配置完成后，实例元数据访问模式不支持修改。

下文以新建节点池流程为例，与创建集群过程中涉及的核心配置项一致。

1. 登录容器服务管理控制台，在左侧导航栏选择集群列表。

2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择节点管理 > 节点池。

3. 单击创建节点池，按照页面提示完成节点池的创建。

   以下仅介绍本功能的核心配置项。详细配置项说明请参见创建和管理节点池。

   • 操作系统：需确保操作系统镜像支持仅加固模式，且镜像版本符合要求。

     • 公共镜像

       可使用的操作系统镜像	最低版本要求
       Alibaba Cloud Linux 3.2104 LTS 64位 容器优化版	20241226
       Alibaba Cloud Linux 3.2104 LTS 64位	20241218
       Ubuntu 22.04	20250722
       ContainerOS 3.6	20250916

     • 自定义镜像：需确保镜像内安装的cloud-init版本为23.2.2及以上。关于如何检查和升级cloud-init版本，请参见安装cloud-init。

   • 实例元数据访问模式：选择仅加固模式。