Kubernetes kubelet 容器检查点API漏洞分析与防护指南

问题概述

Kubernetes社区近期发现了一个存在于kubelet组件中的潜在风险，该问题可能导致节点资源耗尽。当用户向kubelet的只读HTTP端点发送大量容器检查点请求时，可能会耗尽节点的磁盘空间，从而影响节点的正常运行。

技术背景

kubelet是Kubernetes集群中运行在每个节点上的关键组件，负责管理Pod和容器的生命周期。kubelet提供了多个HTTP API端点，其中包括一个可选的只读端口，默认情况下无需认证即可访问。

容器检查点(Checkpoint)功能是一项高级特性，允许用户保存容器的运行状态。这项功能依赖于底层容器运行时(如CRI-O或containerd)的支持，并需要安装额外的工具如CRIU(Checkpoint/Restore In Userspace)。

问题详情

该问题的核心在于kubelet的检查点API端点被注册到了无需认证的只读端口上。用户需要注意以下几点：

1. 向节点的kubelet只读端口发送大量/checkpoint请求
2. 每个请求都会在节点上生成检查点文件
3. 持续操作会导致节点磁盘空间被快速占用
4. 最终可能导致节点资源不足，影响运行在该节点上的所有工作负载

受影响版本

该问题影响以下kubelet版本：

• v1.32.0至v1.32.1
• v1.31.0至v1.31.5
• v1.30.0至v1.30.9

在更早的v1.25-v1.29版本中，容器检查点功能是默认关闭的Alpha特性，因此风险较低。

防护措施

立即缓解方案

对于无法立即升级的用户，可采用以下临时防护措施：

1. 在kubelet配置中将ContainerCheckpoint特性门禁设置为false
2. 禁用kubelet只读端口(通过设置--read-only-port=0)
3. 严格限制对kubelet API的网络访问

长期解决方案

建议用户升级到以下已修复版本：

• v1.32.2或更高
• v1.31.6或更高
• v1.30.10或更高
• v1.29.14或更高(针对仍在使用v1.29的用户)

修复版本通过将检查点API端点移至需要认证的端口，从根本上解决了此问题。

检测与监控

管理员应监控以下指标以发现潜在异常：

1. kubelet只读端口上的/checkpoint端点请求频率
2. /var/lib/kubelet/checkpoints目录下的文件数量异常增长
3. 节点磁盘空间使用率的突然变化

最佳实践建议

1. 定期更新Kubernetes组件至最新稳定版本
2. 最小化kubelet API的暴露范围，仅开放必要的网络访问
3. 实施节点级别的资源监控和告警机制
4. 审慎评估是否需要启用高级特性，如非必要应保持默认关闭状态

通过采取这些措施，用户可以显著降低因该问题导致的服务中断风险，确保Kubernetes集群的稳定运行。