Terway在1.16.3及更高版本中,节点在使用独占ENI模式的情况下,与部署在其上的Pod进行网络通信时使用的IP将发生变更。
变更内容及影响范围
升级Terway组件到1.16.3及更高版本后,使用独占ENI模式的节点与部署在其上的、组件升级后创建的Pod进行通信时,使用的IP将进行变更:
独占ENI模式介绍请参考:为节点池配置独占ENI网络模式。
低于1.16.3的版本:节点侧的veth接口使用固定的链路本地地址
169.254.1.1作为IP。1.16.3及更高版本:节点访问Pod时,将不再使用该固定IP,而使用节点IP(节点实例在VPC内的IP)作为请求源IP。
潜在影响与风险
由于节点使用的IP变更,可能会对集群内的业务产生以下影响:
容器级的访问控制失效:如果应用或Pod配置了基于IP的访问白名单(例如,在应用逻辑、配置文件或容器内iptables中),且该白名单仅允许
169.254.1.1,升级后节点的访问请求将被拒绝,依赖节点访问的健康检查(Liveness Probes、Readiness Probes)、监控指标采集等功能将失败,可能导致Pod被频繁重启或服务中断。日志分析与审计异常:Pod应用日志中记录的来自节点的请求源IP将不再是
169.254.1.1,依赖固定IP字符串进行匹配的日志分析、监控告警或审计脚本将失效。
解决方案
在升级Terway组件前,请执行以下检查:
检查容器级访问控制规则:如果容器通过白名单仅允许
169.254.1.1访问,请修改配置以允许节点访问。由于节点IP无法确定,建议白名单对节点所在的独占ENI模式节点池的网段放行。测试验证:建议在测试环境中先行升级Terway,验证节点到Pod的连通性正常后(例如,在节点上使用
ping连接容器IP)再在生产环境中升级。
该文章对您有帮助吗?