K3s项目中Kubelet read-only-port参数的安全配置演进

在Kubernetes生态系统中，Kubelet作为节点代理组件，其安全配置始终是集群加固的重点。本文聚焦K3s项目（轻量级Kubernetes发行版）在v1.32版本迭代中对readOnlyPort参数的配置优化，解析其安全意义及版本间行为差异。

参数背景

readOnlyPort是Kubelet提供的一个非认证只读端口（默认10255），曾用于获取节点监控数据。由于该端口无需认证即可访问，可能暴露Pod信息等敏感数据，Kubernetes社区自v1.10起就建议禁用（设置为0）。主流发行版逐步将该参数默认值设为0以符合安全基线。

K3s的行为变化

在K3s v1.32.3及之前版本中，存在以下行为：

• 即使未显式配置，readOnlyPort仍默认启用（10255）
• 通过/api/v1/nodes/<node>/proxy/configz接口可观察到该参数值
• 这可能导致安全扫描工具告警，不符合CIS基准要求

从v1.32.4-rc1版本开始：

• 默认不再暴露readOnlyPort参数
• 配置接口返回结果中该字段消失
• 若需启用必须显式配置（如--kubelet-arg=read-only-port=10111）

技术影响分析

1. 安全加固
   消除默认开放的非认证端口，减少攻击面，符合零信任原则。运维人员需改用认证端口（10250）或Metrics接口获取监控数据。

2. 兼容性考虑
   依赖该端口的旧监控系统需要升级：

   • 迁移到/metrics接口
   • 或显式启用端口并配置网络策略

3. 配置验证方法
   可通过以下命令验证节点配置：

   kubectl get --raw "/api/v1/nodes/<node>/proxy/configz" | grep -i readonlyport
   

运维建议

1. 升级到v1.32.4+版本获取自动修复
2. 若需临时启用，应配合防火墙规则限制访问源
3. 长期方案建议采用ServiceAccount认证访问Kubelet API

该变更体现了K3s项目对默认安全配置的持续优化，建议用户在版本升级时关注此类细粒度安全参数的演进。对于需要严格合规的场景，建议通过CIS扫描工具定期验证集群配置。