RKE2项目中Cilium升级时AppArmor注解保留问题分析

在RKE2项目中使用Cilium网络插件时，从1.30版本升级过程中发现了一个关于AppArmor安全注解的重要问题。本文将深入分析该问题的技术背景、影响范围以及解决方案。

问题背景

AppArmor是Linux内核的一个安全模块，用于通过配置文件限制程序的能力。在Kubernetes环境中，可以通过注解方式为容器配置AppArmor策略。Cilium作为RKE2的默认CNI插件，其DaemonSet中包含了多个容器的AppArmor注解配置。

问题现象

在从Cilium 1.30版本升级时，系统会意外丢弃原有的AppArmor注解配置。具体表现为：

1. DaemonSet中的container.apparmor.security.beta.kubernetes.io/*注解被移除
2. Pod安全上下文中的appArmorProfile配置被保留

技术分析

通过对比升级前后的配置，可以观察到：

• 升级前版本(v1.16.4)的Pod中包含完整的AppArmor注解：

  container.apparmor.security.beta.kubernetes.io/apply-sysctl-overwrites: unconfined
  container.apparmor.security.beta.kubernetes.io/cilium-agent: unconfined
  container.apparmor.security.beta.kubernetes.io/clean-cilium-state: unconfined
  container.apparmor.security.beta.kubernetes.io/config: unconfined
  container.apparmor.security.beta.kubernetes.io/install-cni-binaries: unconfined
  container.apparmor.security.beta.kubernetes.io/install-portmap-cni-plugin: unconfined
  container.apparmor.security.beta.kubernetes.io/mount-bpf-fs: unconfined
  container.apparmor.security.beta.kubernetes.io/mount-cgroup: unconfined
  

• Pod级别的AppArmor配置保持不变：

  appArmorProfile:
    type: Unconfined
  

影响评估

这种注解丢失会导致以下潜在问题：

1. 容器安全策略降级，可能违反安全合规要求
2. 某些依赖AppArmor限制的功能可能无法正常工作
3. 安全审计日志中缺少预期的AppArmor事件记录

解决方案

RKE2团队在1.32版本中修复了此问题，确保升级过程中保留所有AppArmor相关注解。验证方法如下：

1. 升级到修复版本(v1.32.1-rc2+rke2r1)后
2. 检查Cilium Pod的注解配置是否完整保留
3. 确认所有容器仍保持预期的安全配置状态

最佳实践建议

对于使用Cilium的用户，建议：

1. 在升级前备份当前的DaemonSet配置
2. 优先选择包含此修复的RKE2版本进行升级
3. 升级后验证所有安全相关配置是否按预期保留
4. 定期检查安全策略的实际生效情况

通过这次问题的分析和解决，RKE2项目进一步提升了升级过程中的配置稳定性，特别是对于安全相关的重要配置项。这体现了项目对系统安全性的高度重视和持续改进。