Harvester项目中RKE2 ingress-nginx Admission Webhook的升级处理方案

在Harvester项目的使用过程中，我们发现了一个与RKE2 ingress-nginx Admission Webhook相关的安全问题。本文将详细介绍该问题的背景、解决方案以及升级后的处理流程。

问题背景

在Harvester项目早期版本中，使用的ingress-nginx控制器存在一个安全问题（CVE-2025-1974）。该问题主要影响v1.20版本的ingress-nginx控制器。作为临时解决方案，项目团队提供了禁用相关admission webhooks的操作指南。

临时解决方案

对于受影响的Harvester版本（1.4.2及更早版本），用户需要执行以下步骤：

1. 修改HelmChartConfig资源中的配置，将admissionWebhooks.enabled设置为false
2. 移除现有的ValidatingWebhookConfiguration资源
3. 重启ingress-nginx控制器Pod

这些操作确保了集群在问题修复前能够安全运行。

升级后的处理方案

当用户将Harvester升级到包含修复版本的ingress-nginx控制器（v1.21+）后，需要重新启用admission webhooks功能。具体操作如下：

1. 恢复HelmChartConfig资源中的配置，确保admissionWebhooks.port设置为8444
2. 保留用户可能添加的任何自定义配置
3. 系统会自动重新创建ValidatingWebhookConfiguration资源

技术实现细节

升级过程中，系统会自动处理以下关键点：

1. 版本检测：系统会识别当前ingress-nginx控制器的版本，确保只有升级到安全版本后才执行修复操作
2. 配置恢复：自动恢复admission webhooks相关配置，同时保留用户自定义设置
3. 资源重建：自动重建必要的ValidatingWebhookConfiguration资源
4. 控制器重启：确保ingress-nginx控制器Pod完成重启并正常运行

验证步骤

升级完成后，管理员可以通过以下方式验证修复是否成功：

1. 检查ingress-nginx控制器版本是否为安全版本（v1.12.1+）
2. 确认ValidatingWebhookConfiguration资源已正确创建
3. 验证所有ingress-nginx控制器Pod处于Running状态
4. 确保Harvester UI可以通过集群VIP正常访问

最佳实践建议

1. 对于生产环境，建议先在测试环境验证升级流程
2. 升级前备份关键配置
3. 监控升级后系统的稳定性
4. 定期检查系统组件版本，确保使用最新的安全版本

通过这套完整的升级处理方案，Harvester项目确保了用户集群在安全问题修复前后的平稳过渡，同时提供了清晰的验证流程，帮助管理员确认系统状态。