关于容器服务停止提供 Ingress、Argo等测试域名的公告

出于安全合规要求,自20260505日起,阿里云容器服务 Kubernetes 版将停止解析存量集群 Ingress 实例的 {集群ID}.alicontainer 测试域名。为避免服务访问异常,请尽快迁移使用该测试域名的服务。

变更内容及影响范围

20260505日起,容器服务 Kubernetes 版将逐步停止为所有存量集群提供 Ingress 测试域名,即停止解析{集群ID}.{region}.alicontainer.com 格式的域名。您需要配置自有域名以继续使用 Ingress 功能。

本次变更涉及的集群类型如下。

  • ACK托管集群ACK专有集群ACK Edge集群ACK灵骏集群:所有绑定alicontainer.com域名的Ingress路由将无法解析,导致关联的后端服务无法通过域名访问。

  • 分布式云容器平台 ACK One (GitOps):对于使用默认 ArgoCD 域名的ACK One舰队集群,其路由将无法解析。

  • 分布式云容器平台 ACK One (工作流集群):对于使用默认 ArgoServer 域名的工作流集群,其路由将无法解析。

容器服务 Kubernetes 版已于20240715日停止为新建集群提供alicontainer.com测试域名。自此之后创建的集群不在本次变更的影响范围内,详情参见【产品变更】关于新增集群停止提供Ingress测试域名的公告

检测方法

ACK托管、专有、Edge、灵骏集群

您可执行以下命令,查看集群中是否存在包含alicontainer.com域名的 Ingress 路由规则。

kubectl get ingress -A -o yaml |grep "alicontainer.com"

ACK One GitOps

  1. 检查 DNS 配置中,是否存在CNAMEargocd.<ackone fleet id>.<region>.alicontainer.com的自定义域名。

  2. 检查集群中 ArgoCD 的 argocd-cm ConfigMap 内是否配置了 alicontainer.com 域名

    kubectl -nargocd get cm argocd-cm -ojsonpath='{.data.url}' |grep "alicontainer.com"

ACK One 工作流集群

检查 DNS 或其他系统配置中,是否存在 CNAME 或直接使用 argo.<argo cluster id>.<region>.alicontainer.com 端点提交工作流的场景。

解决方案

迁移 ACK托管、专有、Edge、灵骏集群的 Ingress 域名

对于还需要继续对外暴露的alicontainer.com域名服务,推荐您使用如下步骤迁移。

  1. 准备一个自有域名,并创建 A 记录解析到 kube-system 命名空间下的 nginx-ingress-lb Service的外部端点IP。关于如何配置Ingress自定义域名,请参见配置域名解析

  2. 在所有使用 alicontainer.com 的 Ingress 资源中,添加使用新域名的路由规则。

  3. 通过新域名测试服务连通性,并将客户端请求全部切换至新域名。

  4. 验证完成后,从 Ingress 资源中移除alicontainer.com 的相关规则。

迁移ACK One GitOps 域名

场景一:自定义域名 CNAME 至 alicontainer.com,使用自定义域名访问GitOps控制台

如您已经用自定义域名CNAMEargocd.<ackone fleet id>.<region>.alicontainer.com,请按照如下步骤进行迁移。

  1. 获取 argocd-server 服务的 LoadBalancer IP。

    kubectl get svc -n argocd argocd-server -o jsonpath='{.status.loadBalancer.ingress[0].ip}'
  2. 在 DNS 服务商处,将原 CNAME 解析记录修改为 A 记录,指向上一步获取的 IP 地址。

场景二:使用 alicontainer.com 访问GitOps控制台

如果不是上述情况,请查看舰队中argocd-cm配置中的URL。

kubectl -nargocd get cm argocd-cm -ojsonpath='{.data.url}' |grep "alicontainer.com"

如果argocd-cm中包含alicontainer.com,请按以下步骤将data.url改成argocd-serverLoadBalancer IP,完成迁移。

  1. 获取 argocd-server 服务的 LoadBalancer IP。

    kubectl get svc -n argocd argocd-server -o jsonpath='{.status.loadBalancer.ingress[0].ip}'
  2. 将 argocd-cm 配置中的 data.url 替换为上一步获取的 IP 地址,并重启 argocd-server 使配置生效。

    请替换${LB IP}为实际IP地址。

    kubectl patch cm -n argocd argocd-cm --type=merge -p '{"data":{"url":"https://${LB IP}"}}'
    kubectl -n argocd rollout restart deployment argocd-server

迁移 ACK One 工作流域名

  • 若无需域名访问:修改客户端配置,将访问端点直接替换为 argo-server 服务的外部端点 IP。

  • 若需继续使用域名访问:

    1. 准备一个自有域名。

    2. 在 DNS 服务商处为该域名创建 A 记录,指向集群ID命名空间下 argo-server Service的外部端点 IP。

    3. 修改所有使用旧端点的客户端配置文件,使其访问新域名。

联系我们

如遇任何问题,或有产品使用建议,请加入钉群联系我们