希望我能在正确的地方发布这篇文章。我们有一个ML团队,使用我构建的Azure AKS集群。因为这一切都是围绕ML Studio构建的,我认为这可能是询问开发观点的最佳场所。
最近的一次安全扫描确定了节点和工作负载上的几个打开端口,这些端口标识自己正在运行NGINX v1.10.3:
[root ~]# curl 10.210.100.62:32570 -ik
HTTP/1.1 200 OK
Server: nginx/1.10.3 (Ubuntu)
Date: Wed, 09 Mar 2022 14:19:55 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 7
Connection: keep-alive
集群严格用于承载ML Studio推理端点。
运行NGINX的开放端口有:
5001
31366
31419
32570
我很确定5001是所有推理端点上的侦听端口,所以我想它可能与ML Studio以及它如何部署推理端点有关。其他端口可能是Kubernetes节点上的一些控制端口?
我尝试在控制面板和节点上更新kubernetes版本。但这对运行的NGINX版本没有任何影响,即使在节点上也是如此。我连接到了根shell中的一个主机,但环境确实被剥离了,我在确定NGINX从哪里运行,或者是否可以更新方面没有走多远。我怀疑试图在空壳里这样做只会破坏事物。
有人知道是否有可能更新这个吗?
您似乎用ServiceTypeNodePort暴露了您的应用程序,并且Nginx在您的容器中,因为您没有提到任何入口。
也许重新检查镜像构建(Dockerfile(。在那里你应该能够更新nginx。
我还建议永远不要使用NodePort。正如您自己所认识到的,它直接在每个节点上打开端口,这是一种不安全的配置。
最好始终使用入口控制器。在这里,您可以从Microsoft文档中找到创建基本入口控制器的文档。然后,您将只公开成为集群的单个入口点的入口控制器(无论是公共的还是私有的,都无关紧要(。最后一部分是使应用程序可访问的入口资源。