为持续提升容器监控的安全性与权限管理规范性,我们将对 Prometheus Agent 、元数据采集组件(Entity Collector)所依赖的 ClusterRole 权限模型进行统一收敛和规范化升级,涉及到管控面和数据面,具体 ClusterRole 变更如下:
一、 Prometheus Agent 自 v1.1.35 版本后,数据面的相关权限将进行以下调整:
原 arms-prometheus-oper3 (ClusterRole) 授予 Prometheus Operator 需要的资源读权限和限定 Namespace 的工作负载操作权限,本次变更后,权限策略会继承自 arms-prometheus-oper3,且更名为 cms-prometheus-operator-cluster-role(非托管场景) / cms-prometheus-operator-managed-role(托管场景)。
arms-pilot-prom-k8s (ClusterRole) 本次变更后,被废弃。
原 arms-pilot-prom-k8s-arms_config (Role) 授予 Prometheus Operator 需要的限定 Namespace 的工作负载操作权,在本次变更后,会更名为 cms-prometheus-operator-role。
原 arms-kube-state-metrics (ClusterRole) 授予 kube-state-metrics 需要的资源读取权限,在本次变更后,会更名为 cms-kube-meta-role(非托管场景)/ cms-kube-meta-managed-role(托管场景)。权限策略会继承自arms-kube-state-metrics。
二、托管 Entity Collector 自 v2.0.7 版本后,数据面的相关权限将进行以下调整:
原 entity-collector-manager-role (ClusterRole) 授予的托管 Entity Collector 采集组件需要的集群资源读取权限,在本次变更后,会和 kube-state-metrics 复用一个 ClusterRole (cms-kube-meta-role/ cms-kube-meta-managed-role),用于 Meta Metrics 和 Entities 的生成。
三、自 2025 年 11 月 10 日起,云监控接入中心依赖的容器集群的管控权限将进行以下调整:
容器洞察依赖的管控权限将新增 1 个独立的 ClusterRole:cloudmonitor-cms-integrationforcs-clusterrole,对应的阿里云服务角色为 AliyunCmsIntegrationForCSRole,具体可参考详细文档容器集群面向云监控数据采集权限说明与容器集群面向云监控管控服务授权说明。