Terway在1.16.3及更高版本中,節點在使用獨佔ENI模式的情況下,與部署在其上的Pod進行網路通訊時使用的IP將發生變更。
變更內容及影響範圍
升級Terway組件到1.16.3及更高版本後,使用獨佔ENI模式的節點與部署在其上的、組件升級後建立的Pod進行通訊時,使用的IP將進行變更:
獨佔ENI模式介紹請參考:為節點池配置獨佔ENI網路模式。
低於1.16.3的版本:節點側的veth介面使用固定的鏈路本地地址
169.254.1.1作為IP。1.16.3及更高版本:節點訪問Pod時,將不再使用該固定IP,而使用節點IP(節點執行個體在VPC內的IP)作為請求源IP。
潛在影響與風險
由於節點使用的IP變更,可能會對叢集內的業務產生以下影響:
容器級的存取控制失效:如果應用或Pod配置了基於IP的訪問白名單(例如,在應用邏輯、設定檔或容器內iptables中),且該白名單僅允許
169.254.1.1,升級後節點的訪問請求將被拒絕,依賴節點訪問的健全狀態檢查(Liveness Probes、Readiness Probes)、監控指標採集等功能將失敗,可能導致Pod被頻繁重啟或服務中斷。日誌分析與審計異常:Pod應用日誌中記錄的來自節點的請求源IP將不再是
169.254.1.1,依賴固定IP字串進行匹配的日誌分析、監控警示或審計指令碼將失效。
解決方案
在升級Terway組件前,請執行以下檢查:
檢查容器級存取控制規則:如果容器通過白名單僅允許
169.254.1.1訪問,請修改配置以允許節點訪問。由於節點IP無法確定,建議白名單對節點所在的獨佔ENI模式節點池的網段允許存取。測實驗證:建議在測試環境中先行升級Terway,驗證節點到Pod的連通性正常後(例如,在節點上使用
ping串連容器IP)再在生產環境中升級。