Terway バージョン 1.16.3 以降では、排他的な ENI モードを使用している場合、ノードからその Pod へのトラフィックの送信元 IP アドレスが変更されます。
変更内容とその影響
Terway プラグインをバージョン 1.16.3 以降にアップグレードすると、排他的な ENI モードのノードと、その Pod (アップグレード後に作成されたもの) との間の通信における送信元 IP アドレスは、次のように変更されます。
排他的な ENI モードのリファレンス: ノードプールの排他的な ENI ネットワークモードの設定。
1.16.3 より前のバージョン: ノードの veth インターフェイスは、固定のリンクローカルアドレス
169.254.1.1を使用します。バージョン 1.16.3 以降: ノードが Pod と通信する際、固定の IP アドレスは使用されなくなります。代わりに、Virtual Private Cloud (VPC) 内のノードのプライベート IP アドレスであるノード IP が使用されます。
リスクの評価
この IP アドレスの変更は、クラスター内のワークロードに次のような影響を与える可能性があります:
コンテナーレベルのアクセス制御の失敗: アプリケーションまたは Pod のホワイトリストで、送信元 IP
169.254.1.1のみを許可している場合 (例えば、アプリケーションロジック、設定ファイル、またはコンテナーレベルの iptables ルール内)、アップグレード後にノードからのリクエストが拒否されます。その結果、ヘルスチェック (liveness プローブおよび readiness プローブ) や監視メトリクスの収集など、ノードから Pod への通信に依存する機能が失敗します。これにより、Pod の頻繁な再起動やサービスの中断につながる可能性があります。ログ分析と監査の異常: Pod のアプリケーションログに記録されるノードからの送信元 IP アドレスは
169.254.1.1ではなくなります。そのため、特定の IP アドレス169.254.1.1に一致するように設計されたログ分析、監視アラート、または監査スクリプトは失敗します。
必要な対応
Terway プラグインをアップグレードする前に、以下の確認と更新を実行してください。
アクセス制御ルールの確認と更新。 ご利用のコンテナーが
169.254.1.1からのトラフィックのみを許可するホワイトリストを使用している場合は、排他的な ENI モードを使用するノードプール全体の CIDR ブロックを含むようにホワイトリストを拡張してください。これは、特定のノード IP が変動する可能性があるためです。変更のテストと検証。 まず、テスト環境で Terway をアップグレードし、ノードから Pod への接続性が期待どおりに機能することを確認します。例えば、ノードで
pingコマンドを使用して Pod の IP アドレスに到達できるか試します。変更を検証した後、本番環境でアップグレードを進めてください。