Harvester项目中RKE2 ingress-nginx Admission Webhook的升级处理方案

背景介绍

在Harvester项目中发现了一个与RKE2 ingress-nginx组件相关的安全问题(CVE-2025-1974)，该问题存在于ingress-nginx admission webhook功能中。作为临时解决方案，项目团队提供了暂停该webhook的操作指南。随着官方更新版本的发布，需要在后续升级中重新启用这一关键安全功能。

问题分析

ingress-nginx admission webhook是Kubernetes集群中用于验证和修改Ingress资源的重要组件。在问题解决前，暂停webhook是必要的安全措施，但这会降低集群的安全性。当升级到包含更新版本的Harvester时，必须确保webhook被正确重新启用。

技术实现

重新启用webhook的核心是配置HelmChartConfig资源中的特定参数。具体需要设置spec.valuesContent.controller.admissionWebhooks.port为8444。这一配置变更需要满足以下要求：

1. 仅在包含更新版本的升级中执行（如v1.5.0和v1.4.3）
2. 保留用户可能添加的其他自定义配置
3. 确保升级过程中服务不中断

验证方案

完整的验证流程包括：

1. 升级前验证：

   • 确认集群当前运行的是需要更新的ingress-nginx版本(v1.10.5)
   • 检查webhook配置已被移除
   • 确认UI可通过VIP正常访问

2. 升级后验证：

   • 确认升级到更新版本(v1.12.1)
   • 检查webhook配置已正确恢复
   • 验证控制器Pod重启成功
   • 确保UI访问不受影响

最佳实践

对于系统管理员，建议：

1. 在升级前备份现有的HelmChartConfig配置
2. 按照官方文档逐步执行升级操作
3. 升级后立即验证webhook功能
4. 定期检查ingress-nginx组件的安全更新

总结

Harvester团队通过版本控制与配置管理相结合的方式，既解决了安全问题，又确保了系统功能的完整性。这种处理方式体现了对用户系统稳定性和安全性的双重考虑，为类似场景提供了可借鉴的解决方案。