為持續提升容器監控的安全性與許可權管理規範性,我們將對 Prometheus Agent 、中繼資料採集組件(Entity Collector)所依賴的 ClusterRole 許可權模型進行統一收斂和正常化升級,涉及到管控面和資料面,具體 ClusterRole 變更如下:
一、 Prometheus Agent 自 v1.1.35 版本後,資料面的相關許可權將進行以下調整:
原 arms-prometheus-oper3 (ClusterRole) 授予 Prometheus Operator 需要的資源讀許可權和限定 Namespace 的工作負載操作許可權,本次變更後,權限原則會繼承自 arms-prometheus-oper3,且更名為 cms-prometheus-operator-cluster-role(非託管情境) / cms-prometheus-operator-managed-role(託管情境)。
arms-pilot-prom-k8s (ClusterRole) 本次變更後,被廢棄。
原 arms-pilot-prom-k8s-arms_config (Role) 授予 Prometheus Operator 需要的限定 Namespace 的工作負載操作權,在本次變更後,會更名為 cms-prometheus-operator-role。
原 arms-kube-state-metrics (ClusterRole) 授予 kube-state-metrics 需要的資源讀取許可權,在本次變更後,會更名為 cms-kube-meta-role(非託管情境)/ cms-kube-meta-managed-role(託管情境)。權限原則會繼承自arms-kube-state-metrics。
二、託管 Entity Collector 自 v2.0.7 版本後,資料面的相關許可權將進行以下調整:
原 entity-collector-manager-role (ClusterRole) 授予的託管 Entity Collector 採集組件需要的叢集資源讀取許可權,在本次變更後,會和 kube-state-metrics 複用一個 ClusterRole (cms-kube-meta-role/ cms-kube-meta-managed-role),用於 Meta Metrics 和 Entities 的產生。
三、自 2025 年 11 月 10 日起,CloudMonitor接入中心依賴的容器叢集的管控許可權將進行以下調整:
容器洞察依賴的管控許可權將新增 1 個獨立的 ClusterRole:cloudmonitor-cms-integrationforcs-clusterrole,對應的阿里雲服務角色為 AliyunCmsIntegrationForCSRole,具體可參考詳細文檔容器叢集面向CloudMonitor資料擷取許可權說明與容器叢集面向CloudMonitor管控服務授權說明。