RSS Kubernetes 博客 关注 Kubernetes v1.36:弃用并移除 Service 的 ExternalIPs Kubernetes 服务中的 .spec.externalIPs 字段最初设计用于非云负载均衡功能,现因 CVE-2020-8554 所揭示的安全漏洞而被弃用。该字段允许指定服务响应的额外 IP 地址,但其存在固有的安全风险,因为它假设所有用户之间互信。Kubernetes 1.21 已建议禁用 .spec.externalIPs,并引入了 admission controller 以强制执行此策略。替代方案包括手动管理的 LoadBalancer 服务或非云负载均衡控制器(如 MetalLB),后者能提供更高的安全性和控制力。MetalLB 允许管理员控制 IP 地址分配,从而缓解安全顾虑。Gateway API 也提供了一种安全解决方案,管理员可通过 Gateway 资源对 IP 进行控制。Kubernetes 1.36 正式弃用 .spec.externalIPs,并开始对其使用发出警告。未来版本中将禁用 Kube-proxy 对该特性的支持,并在后续版本中完全移除。建议用户迁移至该不安全特性。 Kubernetes v1.36: Deprecation and removal of Service ExternalIPs kubernetes.io
.spec.externalIPs字段最初设计用于非云负载均衡功能,现因 CVE-2020-8554 所揭示的安全漏洞而被弃用。该字段允许指定服务响应的额外 IP 地址,但其存在固有的安全风险,因为它假设所有用户之间互信。Kubernetes 1.21 已建议禁用.spec.externalIPs,并引入了 admission controller 以强制执行此策略。替代方案包括手动管理的 LoadBalancer 服务或非云负载均衡控制器(如 MetalLB),后者能提供更高的安全性和控制力。MetalLB 允许管理员控制 IP 地址分配,从而缓解安全顾虑。Gateway API 也提供了一种安全解决方案,管理员可通过 Gateway 资源对 IP 进行控制。Kubernetes 1.36 正式弃用.spec.externalIPs,并开始对其使用发出警告。未来版本中将禁用 Kube-proxy 对该特性的支持,并在后续版本中完全移除。建议用户迁移至该不安全特性。