文档

【产品变更】迁移低版本ACK集群监控端口至鉴权端口

更新时间:

由于社区版Kubernetes的只读容器监控透出存在信息泄露风险,阿里云容器服务ACK 1.26及以上版本的集群已不再默认开放kubelet容器监控只读端口(10255),后续统一使用鉴权安全端口(10250)。

风险申明

在被攻破集群节点后,社区版Kubernetes默认开放的kubelet容器监控只读端口(10255)可能会被获取部分应用信息,存在信息泄露风险。因此,容器服务ACK 1.26及以上版本的集群不再默认开放kubelet容器监控只读端口(10255),后续统一使用鉴权安全端口(10250)。

影响范围

低于1.26版本的ACK集群,且正在使用或计划依赖kubelet只读端口(10255)。

升级迁移监控组件并手动关闭kubelet只读端口(10255)

如果您的集群初始版本低于1.26,请升级迁移监控组件,并手动关闭kubelet只读端口(10255)。

注意事项

若您的集群存在虚拟节点(ack-virtual-node),或者集群为版本低于1.26的ACK Serverless集群,请提交工单联系容器服务技术人员关闭10255端口。

操作步骤

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择运维管理 > 组件管理

  3. 定位并升级相关组件。

    • metrics-server组件:升级至v0.3.9.4-ff225cd-aliyun及以上版本。若您未安装,则无需处理。

    • ack-arms-prometheus组件:若您的集群已安装ack-arms-prometheus组件,升级至1.1.15及以上版本。若您未安装,则无需处理。

    说明

    此升级过程不会对集群、应用和现有监控能力产生影响。

  4. 在左侧导航栏,选择节点管理 > 节点池,在节点池列表,按照以下步骤关闭集群下所有节点池的10255端口。

    • 操作列,单击节点池对应的更多 > Kubelet配置

    • 自定义参数区域,修改参数readOnlyPort的值为0,然后单击提交,完成10255端口的关闭。

      image.png
    重要

    关闭10255端口时,请勿在节点上手动修改kubelet参数配置文件/etc/kubernetes/kubelet-customized-args.conf。控制台上节点池kubelet的配置修改会将此配置文件覆盖。

手动开启kubelet只读端口(10255)

若您正在使用或计划依赖kubelet只读端口(10255),请充分了解并知悉数据安全风险。了解后,按需在1.26及以上版本的集群中通过kubelet参数手动开启只读端口(10255)。

操作步骤

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择节点管理 > 节点池

  3. 在节点列表的操作列,在节点池列表,按照以下步骤开启集群下所有节点池的10255端口。

    • 单击节点池对应的更多 > Kubelet配置

    • 自定义参数区域,修改参数readOnlyPort的值为10255,然后单击提交,完成10255端口的开启。17.png

  • 本页导读 (1)