Harvester项目中RKE2 Nginx Ingress控制器安全问题分析与应对方案

问题背景

在Harvester项目中发现了一个与RKE2部署相关的Nginx Ingress控制器安全问题。该问题存在于特定版本的Nginx Ingress控制器中，可能影响Harvester集群的网络流量处理能力。作为基于Kubernetes的现代基础设施平台，Harvester使用RKE2作为其底层Kubernetes发行版，而Nginx Ingress控制器则是处理入站流量的关键组件。

受影响版本分析

经过技术团队深入调查，确认以下版本的Nginx Ingress控制器存在潜在风险：

• 所有小于等于v1.11.4的版本
• 特定版本v1.12.0

在Harvester项目中的具体表现如下：

• Harvester v1.4.1版本使用的Nginx Ingress控制器为v1.10.5-hardened4
• Harvester v1.4.2版本使用的Nginx Ingress控制器为v1.10.5-hardened6
• Harvester v1.5.0-rc3版本已升级至v1.12.1-hardened1，不受此问题影响

问题影响范围

该问题主要影响Harvester集群的入口流量处理能力，可能导致：

1. 潜在的请求处理异常
2. 策略执行异常风险
3. 控制器稳定性问题

值得注意的是，该问题仅影响由Harvester管理的RKE2 Nginx Ingress控制器。如果集群中运行着其他非Harvester管理的Nginx Ingress控制器实例，需要单独处理。

临时解决方案

对于受影响的Harvester版本，技术团队提供了详细的临时解决方案：

1. 首先确认当前运行的Nginx Ingress控制器版本
2. 通过kubectl编辑rke2-ingress-nginx的Helm图表配置
3. 禁用Nginx Ingress控制器的准入Webhook配置
4. 此操作将删除rke2-ingress-nginx-admission验证Webhook配置
5. 系统会自动重启Nginx Ingress相关Pod

实施此临时方案后，需要验证：

• 确认验证Webhook配置已被移除
• 检查Ingress控制器Pod是否正常运行
• 确保Harvester UI仍可通过VIP访问

长期修复方案

技术团队已在后续版本中集成了RKE2的官方修复补丁：

• Harvester v1.5.0-rc3已包含修复，使用v1.12.1-hardened1版本
• 计划在下一个正式版本中全面修复此问题

用户应用临时解决方案后，在升级到包含修复的版本后，可以安全地移除临时配置变更。

最佳实践建议

1. 定期检查集群组件版本，特别是关键组件
2. 建立问题监控机制，及时获取技术公告
3. 测试环境先行验证任何配置变更
4. 保持Harvester系统及时更新至最新稳定版本
5. 对于生产环境，建议在维护窗口期实施变更

通过以上措施，用户可以有效地管理此潜在风险，同时确保Harvester集群的稳定运行。技术团队将持续监控此类技术问题，为用户提供及时的技术支持和解决方案。