自主升级nginx-ingress-controller的内置nginx组件

已于 2023-10-11 10:58:21 修改
阅读量627 收藏 3
点赞数 1
文章标签: nginx 安全 docker 运维
于 2023-10-11 10:48:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22824481/article/details/133761302
版权

前言

我们由于等保要求或者漏洞扫描,常常会遇到一些漏洞问题。这些漏洞可能不是你直接部署的服务的漏洞。可能是你部署的某个服务的内部组件的漏洞。这时你可能需要单独升级某个服务组件内部的组件。比如升级nginx-ingress-controller的ngix版本这样的需求。

漏洞描述

  • 各个版本情况:rancher:2.4.10、Kubernetes:1.18.0、rancher/nginx-ingress-controller:nginx-0.35.0-rancher2
  • 漏洞描述:nginx 安全漏洞(CVE-2021-23017)
  • 漏洞名称:nginx 安全漏洞(CVE-2021-23017)
    详细描述:Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。nginx存在安全漏洞,该漏洞源于一个离一错误在该漏洞允许远程攻击者可利用该漏洞在目标系统上执行任意代码。受影响版本:0.6.18-1.20.0
    解决办法:厂商补丁:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.nginx.com/blog/updating-nginx-dns-resolver-vulnerability-cve-2021-23017/(不建议打补丁,可以采用升级的方法处理改漏洞,卸载安装,或者直接安装启用,都可以,nginx安装方法参考我前面的方法。)
    威胁分值:9.4
    危险插件:
    发现日期:2021-05-25
    CVE编号:CVE-2021-23017
    CNNVD编号:CNNVD-202105-1581
    CNCVE编号:CNCVE-202123017
    CVSS评分:6.8

    处理过程

  • 查看当前nginx-ingress-controller镜像系统情况、版本以及所用的nginx版本情况。进入容器内部 nginx -V 、 cat /etc/issue查看。一定要明确当前使用的nginx-ingress-controller镜像是基于alpine还是debian的!!!
  • 查找nginx 对应系统的安装包情况

        可以使用apk search --allow-untrusted nginx 进行查找最新版本。当然你可能需要指定镜像源后再查询:echo http://mirrors.aliyun.com/alpine/v3.18/main/ > /etc/apk/repositories。

        直接也可以直接在nginx和阿里的镜像源这里来查找:

Index of /packages/alpine/  、http://mirrors.aliyun.com/alpine/

以阿里云为例:

  •  更新nginx版本,制作新镜像

        由于线上无法联网,且尽量避免直接在线上操作。我们将rancher/nginx-ingress-controller:nginx-0.35.0-rancher2镜像下载到本地,然后确保本地机器可以连接网络后新开一个cmd窗口进行操作:

PS C:\Users\Administrator\Desktop> docker run -it -u root rancher/nginx-ingress-controller:nginx-0.35.0-rancher2 /bin/bash
bash-5.0# nginx -v
nginx version: nginx/1.19.2
bash-5.0# cat /etc/issue
Welcome to Alpine Linux 3.11
Kernel \r on an \m (\l)

bash-5.0# echo http://mirrors.aliyun.com/alpine/v3.18/main/ > /etc/apk/repositories
bash-5.0# apk add --upgrade --allow-untrusted nginx
fetch http://mirrors.aliyun.com/alpine/v3.18/main/x86_64/APKINDEX.tar.gz
(1/8) Upgrading musl (1.1.24-r2 -> 1.2.4-r2)
(2/8) Purging ca-certificates-cacert (20191127-r2)
(3/8) Installing ca-certificates-bundle (20230506-r0)
(4/8) Upgrading zlib (1.2.11-r3 -> 1.2.13-r1)
(5/8) Installing libcrypto3 (3.1.3-r0)
(6/8) Upgrading pcre (8.43-r0 -> 8.45-r3)
(7/8) Installing libssl3 (3.1.3-r0)
(8/8) Installing nginx (1.24.0-r6)
Executing nginx-1.24.0-r6.pre-install
Executing nginx-1.24.0-r6.post-install
Executing busybox-1.31.1-r9.trigger
Executing ca-certificates-20191127-r2.trigger
OK: 30 MiB in 42 packages
bash-5.0# nginx -v
nginx version: nginx/1.19.2                    ###这个地方还是现实1.19.2 但是应该是缓存问题,我们看到更新1.24.0已经成功了,所以尝试将容器保存为新的镜像试试
bash-5.0#

        由于我们开的是交互式窗口,所以不要退出,退出后容器就进不来了,所以再开一个cmd进行容器保存和测试:

#########新开一个cmd  将容器保存为镜像################
PS C:\Users\Administrator\Desktop\test> docker ps
CONTAINER ID   IMAGE                                                    COMMAND                   CREATED         STATUS         PORTS             NAMES
957cf78e4b8e   rancher/nginx-ingress-controller:nginx-0.35.0-rancher2   "/usr/bin/dumb-init …"   2 minutes ago   Up 2 minutes   80/tcp, 443/tcp   confident_robinson
PS C:\Users\Administrator\Desktop\test> docker commit -m="nginx-ingerss-controller自定义镜像基于apline3.11、nginx1.24.0" -a="yinghuo1129" 957cf78e4b8e 10.**.**.**:30000/ruifei/toos/nginx-ingerss-controller:nginx1.24.0-Release
sha256:b457932f1b5913c72d55e5acf315a31b50f9a0982384285122c513545180e996
PS C:\Users\Administrator\Desktop\test> docker run -it -u root 10.**.**.**:30000/ruifei/toos/nginx-ingerss-controller:nginx1.24.0-Release /bin/bash
bash-5.0# nginx -v
nginx version: nginx/1.24.0
bash-5.0# nginx -V
nginx version: nginx/1.24.0
built with OpenSSL 3.1.0 14 Mar 2023 (running with OpenSSL 3.1.3 19 Sep 2023)
TLS SNI support enabled
configure arguments: --prefix=/var/lib/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --pid-path=/run/nginx/nginx.pid --lock-path=/run/nginx/nginx.lock --http-client-body-temp-path=/var/lib/nginx/tmp/client_body --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --with-perl_modules_path=/usr/lib/perl5/vendor_perl --user=nginx --group=nginx --with-threads --with-file-aio --without-pcre2 --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_auth_request_module --with-http_random_index_module --with-http_secure_link_module --with-http_degradation_module --with-http_slice_module --with-http_stub_status_module --with-http_perl_module=dynamic --with-mail=dynamic --with-mail_ssl_module --with-stream=dynamic --with-stream_ssl_module --with-stream_realip_module --with-stream_geoip_module=dynamic --with-stream_ssl_preread_module --add-dynamic-module=/home/buildozer/aports/main/nginx/src/njs-0.7.11/nginx --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_devel_kit-0.3.2/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/traffic-accounting-nginx-module-2.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/array-var-nginx-module-0.06/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-auth-jwt-0.2.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_brotli-1.0.0rc/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_cache_purge-2.5.3/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx_cookie_flag_module-1.1.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-dav-ext-module-3.0.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/echo-nginx-module-0.63/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/encrypted-session-nginx-module-0.09/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx-fancyindex-0.5.2/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_http_geoip2_module-3.4/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/headers-more-nginx-module-0.34/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-keyval-0.1.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-log-zmq-1.0.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/lua-nginx-module-0.10.24/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/lua-upstream-nginx-module-0.07/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/naxsi-1.3/naxsi_src --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nchan-1.3.6/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/redis2-nginx-module-0.15/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/set-misc-nginx-module-0.33/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-http-shibboleth-2.0.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_http_untar_module-1.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-upload-module-2.3.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-upload-progress-module-0.9.2/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-upstream-fair-0.1.3/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/ngx_upstream_jdomain-1.4.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-vod-module-1.31/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-module-vts-0.2.1/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/mod_zip-1.3.0/ --add-dynamic-module=/home/buildozer/aports/main/nginx/src/nginx-rtmp-module-1.2.2/
bash-5.0# exit
exit
PS C:\Users\Administrator\Desktop\test>

好,至此我们已经成功完成了nginx版本的升级得到了我们自己的新的nginx-ingerss-controller镜像,可以push到自己的私有仓库,然后升级测试了。

 总结

        其实更新和升级nginx是个很常见的问题,系统漏洞有很大一部分都是 数据库、redis、nginx、swagger等常见组件导致的,遇到漏洞不要慌慢慢处理和分析即可。另外如果有小伙伴觉得都没法通过 add 或者 apt-get 等命令安装,只能通过源码编译的话也可以大胆尝试,参考升级ingress-nginx-controller的nginx版本_修改 ingress 镜像版本-CSDN博客

参考&资源查找

升级ingress-nginx-controller的nginx版本_修改 ingress 镜像版本-CSDN博客

Dockerfile中使用alpine镜像部署nginx服务_nginx alpine docker 安装模块-CSDN博客

alpine 镜像下 apk 命令的使用_程序员_IT虾米网

nginx源码版本下载地址

nginx源码编译模块查找地址

nginx-apline3.18安装包地址

萤火1129
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ingress-nginx-controller(含镜像和代码).rar
10-28
这个使用方法去这篇博客:https://cuichongxin.blog.csdn.net/article/details/120184717
升级ingress-nginx-controllernginx版本
polarwu的博客
02-26 8926
线上的k8s使用nginx所在的边缘节点来将外部访问导流到集群内部容器,ingress-nginx-controller是k8s众多ingress controller实现中的一种,以agent+nginx的方式提供服务。agent通过watch k8s的ingress、configmap、endpoint等资源的变化,修改nginx的配置文件,并负责nginx的reload等工作。如果ingre...
【Kubernetes资源篇】ingress-nginx最佳实践详解
秦子腾
07-23 3452
是一个七层负载调度器,常见的七层负载均衡器有nginx、traefik,以我们熟悉的nginx为例,客户端的请求首先会到Ingress Controller七层负载调度器,由七层负载调度器将请求代理到后端的Pod。以Nginx举例,客户端请求首先会到Nginx中,由Nginx中的upstream模块将请求代理到后端的服务上,但是K8s场景下,后端Pod的IP地址不是固定的,因此在Pod前面需要添加一个service资源,请求到达Service,由Service代理到后端的Pod。
实现Ingress-Nginx Controller高可用方案
最新发布
qq_44930876的博客
06-05 1069
实现Ingress-Nginx Controller高可用方案
k8s 滚动升级nginx-ingress-controller版本和回退
qq_34135615的博客
10-07 1725
k8s 滚动升级nginx-ingress-controller版本和回退
从逻辑上深入理解Kubernetes中IngressNginx Ingress Controller的概念及原理
洒满阳光的午后的博客
09-24 2356
一、从逻辑上理解IngressIngress控制器 在传统的业务系统中,应用微服务化后,需要一个统一的入口来将各个服务进行整合,这个入口可以是Nginx、Apache、HAproxy等等。而在K8s中,同样需要一个工具来将应用的各个service整合到统一的入口,这个工具就叫Ingress控制器,Ingress的中文翻译即为“入口”。 传统业务与k8s业务简化对比图 实现Ingress控制器的方式同样有多种,有基于Apache实现的,有基于Haproxy实现的,有Kubernetes社区基于Ngi
nginx-ingress-controller功能
longtds的博客
04-27 2345
参考:https://kubernetes.github.io/ 典型使用方式http和https apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: annotations: nginx.ingress.kubernetes.io/proxy-body-size: "0" nginx.ingress.kubernetes.io/proxy-read-timeout: "600" nginx.in.
课程实录 | Ingress Controller 的工作原理(下)
NGINX开源社区的博客
08-23 204
本文为系列课程《 K8S Ingress Controller 技术细节探讨》的第一节《 Ingress Controller 的工作原理》的课程实录。由于文章较长,将分为上下两篇发布,点击这里观看课程回放。
升级Nginx
m0_71888825的博客
06-20 3540
Nginx相对对于Apache,他的漏洞较多,一般情况下,可以通过升级Nginx来消除BUG。所以下面写的是升级Nginx的过程。更新软件,只需要编译安装一个新的版本,不需要卸载原先的软件,可以优化性能,和错误修复,提高软件的功能和稳定性。
nginx版本升级详解
小吕学Linux的博客
11-24 5700
确保在升级之前备份nginx的配置文件和数据,这样可以在升级过程中出现问题时进行恢复。并且,在升级后,您可能需要重新应用配置文件和对其他需要的操作进行测试,以确保一切正常运行。3.下载新版本:进入nginx官方网站(https://nginx.org/),下载最新版本nginx。1.备份配置文件和数据:在开始升级之前,请确保您已备份了nginx的配置文件和数据。nginx不支持在线升级,因为升级涉及到重新编译和安装nginx,必须停止当前运行的nginx进程,并进行一些系统级的操作。
实战:ingress-nginx-2022.1.3
weixin_39246554的博客
01-03 1201
实战:ingress-nginx-2022.1.3 目录 文章目录实战:ingress-nginx-2022.1.3目录实验环境实验软件ingress-nginx1、运行原理2、安装3、第一个示例注意???? 问题:如何安装helm & 如何是用helm安装ingress-nginx(已解决)????? 学习这部分内容,如果能熟悉nginx知识点,还是非常不错的。关于我最后 实验环境 实验环境: 1、win10,vmwrokstation虚机; 2、k8s集群:3台centos7.6 1810虚机
nginx ingress controller 最后的倔强: admission webhook
Qinng的博客
04-07 6103
背景 k8s中大多使用nginx-ingress-controller来实现ingress, 但是脆弱的nginx-controller通过ingress解析出nginx配置, 对于某些annotation会reload nignx配置失败, 然后controller就卡死了, 不断重启, 除非删除对应的ingress. 问题复现 创建有问题的ingress apiVersion: extensi...
aws eks 配置nginx tls 和 nginx ingress controller
10 学习笔记
11-06 1064
aws eks 配置nginx tls 和 nginx ingress controller
Nginx Ingress Controller简单使用教程
Bluejoy Jing 的博客
09-06 1659
下载yaml文件 wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/master/deploy/static/mandatory.yaml 修改mandatory.yaml文件 `apiVersion`: apps/v1 kind: Daemonset metadata: name: nginx-ingress-co...
kubernate部署nginx-ingress-controller以及定义ingress策略
热门推荐
fuck487的博客
10-12 1万+
github上nginx-ingress最新版本是0.26.1 github上的配置文件:https://github.com/kubernetes/ingress-nginx/tree/master/deploy/static 参考:https://blog.csdn.net/networken/article/details/85881558 上github查看配置文件 一、...
NGINX Ingress Controller for Kubernetes 版本 1.9.0更新及介绍
NGINX开源社区的博客
10-14 913
继上周发布的NGINX Ingress Controller 版本1.8.0的博文,今天我们将讨论NGINX Ingress Controller版本 1.9.0的新增特性。 此版本建立在 Kubernetes 平台(包括 Red Hat OpenShift、Amazon Elastic Container Service for Kubernetes (EKS)、Azure Kubernetes Service (AKS)、Google Kubernetes Engine (GKE)、IBM Cloud
Nginx-ingress controller部署
qq_26493481的博客
05-13 842
1.克隆Ingress控制器存储库,然后更改到Deployments文件夹: $ git clone https://github.com/nginxinc/kubernetes-ingress/ $ cd kubernetes-ingress/deployments $ git checkout v1.10.0 2.配置RBAC 为Ingress控制器创建一个名称空间和一个服务帐户: kubectl apply -f common/ns-and-sa.yaml 为服务帐户创建集群角色和集群角
七层路由机制-Ingress
皮皮的博客
02-19 2506
Ingress概念: 通俗来讲:Ingress和之前说的Service、Deployment一样,也是一个k8s的资源类型;Ingress用于实现域名的方式访问k8s的内部应用,Service可能更适于服务间访问。 这东西我们使用的k8s官方维护的本版,另外nginx官方也有一个版本,怎么用看个人。 Ingress支持多种方案:包括 Nginx、Haproxy、Traefik、istio等;在实际中Ingress上面可能还有一层公司的硬件层代理。 大概的流程图如下: 创建一个Ingress 首先我们先创
Traefik和Nginx-Ingress-Controller的部署
mark's technic world
02-26 7240
前言TraefikTraefik是一个用Golang开发的轻量级的Http反向代理和负载均衡器。由于可以自动配置和刷新backend节点,目前可以被绝大部分容器平台支持,例如Kubernetes,Swarm,Rancher等。由于traefik会实时与Kubernetes API交互,所以对于Service的节点变化,traefik的反应会更加迅速。总体来说traefik可以在Kubernetes...
nginx-ingress-controller
06-06
### 回答1: nginx-ingress-controller是一种用于Kubernetes集群的Ingress控制器,它使用Nginx作为反向代理来管理入站流量。它可以自动将Ingress资源转换为Nginx配置,并将流量路由到正确的后端服务。它还支持SSL终止、负载均衡、基于URI的路由和HTTP头的修改等功能。nginx-ingress-controller是Kubernetes社区中最受欢迎的Ingress控制器之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

萤火1129

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值