使用僅加固模式訪問ECS執行個體中繼資料 - Container Service for Kubernetes

您可以在 ECS 執行個體內部通過中繼資料服務（Metadata Service）擷取 ECS 中繼資料（如執行個體 ID、VPC 資訊、網卡資訊等）。在 ACK 叢集中，節點的執行個體中繼資料訪問模式預設為同時相容普通模式和加固模式。您可以調整為僅加固模式（IMDSv2），進一步增強執行個體中繼資料服務的安全性。

使用僅加固模式後，節點上的任何應用都將無法通過普通模式訪問 ECS 執行個體中繼資料服務。關於 ECS 執行個體中繼資料訪問模式的詳細介紹，請參見執行個體中繼資料。

前提條件

已建立1.28及以上版本的ACK託管叢集或ACK專有叢集。如需升級，請參見手動升級叢集。

如叢集內安裝了下表中的組件，請確保組件版本為支援僅加固模式的最低版本，且對應的叢集版本符合要求。

展開查看

ACK託管叢集

組件名稱	組件最低版本要求	叢集最低版本要求
cloud-controller-manager	v2.11.3	1.28
terway	v1.9.16	1.30
terway-eni	v1.9.16	1.30
terway-eniip	v1.9.16	1.30
terway-eniip	v1.14.0	1.31
terway-controlplane	v1.9.16	1.30
terway-controlplane	v1.14.0	1.31
ack-erdma-controller	0.2.6	1.28
mse-ingress-controller	1.1.18	1.28
alb-ingress-controller	v2.18.0-aliyun.1	1.28
csi-provisioner	v1.33.3-884df97-aliyun	1.28
csi-plugin	v1.33.3-884df97-aliyun	1.28
storage-operator	v1.32.10	1.28
flexvolume	無支援版本，需遷移至 csi-plugin，請參見遷移Flexvolume至CSI。
kritis-validation-hook	v0.12.0.0-g1535b25b-aliyun	1.28
aliyun-acr-credential-helper	v25.07.21.1-67f1f51-aliyun	1.28
logtail-ds	v2.1.14.0-aliyun	1.28
loongcollector	3.1.1	1.28
metrics-server	v0.3.9.7-85b3699-aliyun	1.28
alicloud-monitor-controller	v1.8.4	1.28
ack-node-problem-detector	1.2.26	1.28
arms-prometheus	1.1.32	1.28
ack-cost-exporter	1.0.18	1.28
ack-sysom-monitor	1.1.2	1.28
arms-cmonitor	4.1.2	1.28
ack-onepilot	5.0.0	1.28
cluster-autoscaler	v1.3.18-48f43128-aliyun	1.28
ack-goatscaler	v0.4.5-17c5a32-aliyun	1.28
migrate-controller	v1.8.6-17482bb-aliyun	1.28
ack-acr-acceleration-p2p	0.3.10	1.28
csi-secrets-store-provider-alibabacloud	0.5.0	1.28
ack-secret-manager	0.5.12	1.28
ack-extend-network-controller	v0.12.0	1.28

ACK專有叢集

組件名稱	組件最低版本要求	叢集最低版本要求
cloud-controller-manager	v2.11.3	1.28
terway	v1.9.16	1.30
terway-eni	v1.9.16	1.30
terway-eniip	v1.9.16	1.30
terway-eniip	v1.14.0	1.31
terway-controlplane	v1.9.16	1.30
terway-controlplane	v1.14.0	1.31
ack-erdma-controller	0.2.6	1.28
mse-ingress-controller	1.1.18	1.28
alb-ingress-controller	v2.18.0-aliyun.1	1.28
csi-provisioner	v1.33.3-884df97-aliyun	1.28
csi-plugin	v1.33.3-884df97-aliyun	1.28
storage-operator	v1.32.10	1.28
flexvolume	無支援版本，需遷移至 csi-plugin，請參見遷移Flexvolume至CSI。
kritis-validation-hook	v0.12.0.0-g1535b25b-aliyun	1.28
aliyun-acr-credential-helper	v25.07.21.1-67f1f51-aliyun	1.28
logtail-ds	v2.1.14.0-aliyun	1.28
loongcollector	3.1.1	1.28
metrics-server	v0.3.9.7-85b3699-aliyun	1.28
alicloud-monitor-controller	v1.8.8	1.28
ack-node-problem-detector	1.2.27	1.28
arms-prometheus	1.1.33	1.28
ack-cost-exporter	1.0.21	1.28
ack-sysom-monitor	1.1.2	1.28
arms-cmonitor	4.1.2	1.28
ack-onepilot	5.0.0	1.28
cluster-autoscaler	v1.3.18-48f43128-aliyun	1.28
ack-goatscaler	v0.4.5-17c5a32-aliyun	1.28
migrate-controller	v1.8.6-17482bb-aliyun	1.28
ack-acr-acceleration-p2p	0.3.10	1.28
csi-secrets-store-provider-alibabacloud	0.5.0	1.28
ack-secret-manager	0.5.12	1.28
ack-extend-network-controller	v0.12.0	1.28

如叢集內已部署了依賴執行個體中繼資料服務的應用，設定僅加固模式會導致原來使用普通模式訪問中繼資料的請求被拒絕。請確保已完成應用代碼的改造，請參見執行個體中繼資料。

操作步驟

本功能僅支援在建立叢集的節點池配置過程中或建立節點池時配置。配置完成後，執行個體中繼資料訪問模式不支援修改。

下文以建立節點池流程為例，與建立叢集過程中涉及的核心配置項一致。

登入Container Service管理主控台，在左側導覽列選擇叢集列表。
在叢集列表頁面，單擊目的地組群名稱，然後在左側導覽列，選擇節點管理 > 節點池。
單擊建立節點池，按照頁面提示完成節點池的建立。
以下僅介紹本功能的核心配置項。詳細配置項說明請參見建立和管理節點池。
- 作業系統：需確保作業系統鏡像支援僅加固模式，且鏡像版本符合要求。
  - 公用鏡像
    可使用的作業系統鏡像
    最低版本要求
    Alibaba Cloud Linux 3.2104 LTS 64位容器最佳化版
    20241226
    Alibaba Cloud Linux 3.2104 LTS 64位
    20241218
    Ubuntu 22.04
    20250722
    ContainerOS 3.6
    20250916
  - 自訂鏡像：需確保鏡像內安裝的cloud-init版本為23.2.2及以上。關於如何檢查和升級cloud-init版本，請參見安裝cloud-init。
- 執行個體中繼資料訪問模式：選擇僅加固模式。

可使用的作業系統鏡像	最低版本要求
Alibaba Cloud Linux 3.2104 LTS 64位容器最佳化版	20241226
Alibaba Cloud Linux 3.2104 LTS 64位	20241218
Ubuntu 22.04	20250722
ContainerOS 3.6	20250916