Konfigurasikan port read only dan autentikasi kubelet - Container Service untuk Kubernetes

Port baca-saja tidak aman 10255 yang digunakan oleh kubelet pada Kubernetes sumber terbuka mengekspos pod dan kontainer terhadap serangan jahat. Untuk mengurangi risiko keamanan, Container Service for Kubernetes (ACK) tidak lagi membuka port baca-saja 10255 untuk kubelet secara default di kluster ACK yang menjalankan Kubernetes 1.26 atau yang lebih baru. Sebagai gantinya, port autentikasi 10250 dibuka dan digunakan oleh kubelet.

Pernyataan Risiko

Penyerang dapat menyusup ke dalam node dan memanfaatkan port baca-saja 10255 dari kubelet untuk mendapatkan informasi tentang aplikasi pada node tersebut, yang berpotensi menyebabkan kebocoran informasi. Untuk menyelesaikan masalah ini, ACK tidak lagi membuka port baca-saja 10255 untuk kubelet secara default di kluster ACK yang menjalankan Kubernetes 1.26 atau yang lebih baru. Sebagai gantinya, port autentikasi 10250 dibuka dan digunakan oleh kubelet.

Jika kluster Anda menjalankan versi Kubernetes lebih lama dari 1.26, kami sarankan Anda mengikuti instruksi dalam topik ini untuk memperbarui komponen pemantauan terkait dan secara manual menutup port baca-saja 10255 untuk kubelet. Untuk informasi lebih lanjut, lihat Perbarui komponen pemantauan terkait dan secara manual tutup port baca-saja 10255 untuk kubelet.
Jika port 10255 sedang digunakan atau akan digunakan oleh aplikasi Anda, kami sarankan Anda menilai potensi risiko keamanan. Di Kubernetes 1.26 dan yang lebih baru, Anda dapat memodifikasi parameter kubelet untuk membuka port 10255. Untuk informasi lebih lanjut, lihat Secara manual buka port baca-saja 10255 untuk kubelet.

Ruang Lingkup Dampak

Kluster ACK yang menjalankan versi Kubernetes lebih lama dari 1.26 terpengaruh jika kubelet di kluster tersebut menggunakan port 10255 atau akan menggunakan port 10255.

Perbarui komponen pemantauan terkait dan secara manual tutup port baca-saja 10255 untuk kubelet

Jika versi Kubernetes asli kluster Anda lebih lama dari 1.26, kami sarankan Anda memperbarui komponen pemantauan terkait dan secara manual menutup port baca-saja 10255 untuk kubelet di kluster Anda.

Tindakan Pencegahan

Jika kluster Anda berisi node virtual (ack-virtual-node) atau Anda menggunakan kluster ACK Serverless yang menjalankan versi Kubernetes lebih lama dari 1.26, ajukan tiket untuk menghubungi dukungan teknis guna menutup port 10255.

Prosedur

Masuk ke Konsol ACK dan klik Clusters di panel navigasi di sebelah kiri.
Di halaman Clusters, klik nama kluster yang ingin Anda kelola dan pilih Operations > Add-ons di panel navigasi di sebelah kiri.
Temukan dan perbarui komponen terkait:
- Perbarui metrics-server ke 0.3.9.4-ff225cd-aliyun atau yang lebih baru. Jika metrics-server belum diinstal di kluster Anda, tidak diperlukan tindakan apa pun.
- Jika ack-arms-prometheus telah diinstal, perbarui komponen tersebut ke versi 1.1.15 atau yang lebih baru. Jika ack-arms-prometheus belum diinstal di kluster Anda, tidak diperlukan tindakan apa pun.
Catatan
Pembaruan ini tidak akan mengurangi performa pemantauan kluster Anda atau memengaruhi aplikasi.
Di panel navigasi di sebelah kiri, pilih Nodes > Node Pools. Dalam daftar kolam node, lakukan langkah-langkah berikut untuk menutup port 10255 di semua node kluster:
- Di kolom Actions dari kolam node, pilih More > Configure kubelet.
- Di bagian Custom Parameters, atur readOnlyPort menjadi 0 dan klik Submit untuk menutup port 10255.
Penting
Saat Anda menutup port 10255, jangan secara manual memodifikasi file konfigurasi kubelet /etc/kubernetes/kubelet-customized-args.conf di node. Konfigurasi kubelet di Konsol ACK akan otomatis menimpa file konfigurasi kubelet.

Secara manual buka port baca-saja 10255 untuk kubelet

Jika port 10255 sedang digunakan atau akan digunakan oleh aplikasi Anda, kami sarankan Anda menilai potensi risiko keamanan. Di Kubernetes 1.26 dan yang lebih baru, Anda dapat memodifikasi parameter kubelet untuk membuka port 10255.

Prosedur

Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.
Di halaman Clusters, klik nama kluster yang ingin Anda kelola dan pilih Nodes > Node Pools di panel navigasi di sebelah kiri.
Di kolom Actions dari kolam node, lakukan langkah-langkah berikut untuk membuka port 10255 di semua node kluster:
- Pilih More > Configure kubelet untuk kolam node.
- Di bagian Custom Parameters, atur readOnlyPort menjadi 10255 dan klik Submit untuk membuka port 10255.