Kubernetes Ingress-NGINX 升级至4.12版本时配置片段注解失效问题解析

在Kubernetes集群中使用Ingress-NGINX作为入口控制器时，许多用户会利用配置片段注解（configuration-snippet）来自定义NGINX行为。近期有用户反馈在将Ingress-NGINX升级到4.12版本后，原本正常工作的配置片段突然失效，导致请求被错误路由到默认后端服务而非预期的微服务端点。

问题现象

升级至Ingress-NGINX 4.12版本后，用户发现原本应该路由到特定微服务（如/userservice/api）的请求被错误地转发到了根路径(/)对应的前端服务。通过检查发现，这些受影响的路由规则都使用了nginx.ingress.kubernetes.io/configuration-snippet注解来添加自定义的NGINX配置。

根本原因

Ingress-NGINX 4.12版本引入了一个重要的安全变更：默认情况下提高了注解的风险等级要求。配置片段注解（configuration-snippet）被归类为"Critical"风险级别，而新版本的默认最大允许风险级别为"High"。这意味着：

1. 配置片段注解的风险等级高于系统默认允许的最大值
2. 除非显式调整风险等级限制，否则这些注解将被忽略
3. 被忽略的注解不会产生任何警告或错误日志，导致配置静默失效

解决方案

要解决此问题，管理员需要在Ingress-NGINX的ConfigMap中调整annotations-risk-level设置，将最大允许风险级别提高到"Critical"。具体配置如下：

controller:
  config:
    annotations-risk-level: "Critical"

对于使用Helm安装的用户，可以在values.yaml中添加或修改此配置：

controller:
  config:
    annotations-risk-level: "Critical"

最佳实践建议

1. 风险评估：在放宽风险等级限制前，应充分评估配置片段带来的安全风险
2. 最小权限原则：仅对确实需要配置片段的Ingress放宽限制
3. 替代方案：考虑使用Ingress-NGINX提供的专用注解而非配置片段，这些专用注解通常有更低的风险等级
4. 升级测试：在非生产环境充分测试配置变更后再应用到生产环境
5. 文档检查：升级前仔细阅读版本变更说明，特别是标注了⚠️符号的破坏性变更

配置片段的安全考量

配置片段虽然强大，但也带来了显著的安全风险：

• 可能引入NGINX配置错误导致服务中断
• 可能被用于注入恶意指令
• 可能绕过Ingress-NGINX的安全控制机制

因此，Ingress-NGINX团队通过风险等级机制来帮助用户更好地管理这些风险。理解并合理配置这些安全控制，是保证Kubernetes入口网关稳定可靠运行的关键。

总结

Ingress-NGINX 4.12版本对注解风险等级的调整是一项重要的安全改进。虽然这可能导致现有配置需要调整，但通过合理配置annotations-risk-level，用户可以在安全性和灵活性之间取得平衡。建议所有使用配置片段的用户在升级前了解这一变更，并做好相应的准备工作。