修复节点Kubelet线程泄露的公告

漏洞详情

K8s v1.25.7的kubelet在满足特定条件的服务器上运行时，删除pod后会有misc残留，会导致kubelet频繁进行删除相关的系统调用，导致kubelet在负载较低时仍有频率相对较高的系统调用，kubelet线程数的异常增长以及CPU与内存资源占用的显著增加。

影响范围

对于金山云容器服务集群，满足如下条件：

• 内核版本>=5.13

• runc >=1.1.6

• kubelet 依赖包runc cli github.com/opencontainers/runc < v1.1.6

• cgroup v1

• kubelet v1.25.7、v1.25.7-kce.1

查看方式：

# 查看内核版本
uname -a
# 查看runc版本
runc --version
# 查看cgroup 版本，如输出为cgroup2fs 则为v2，否则v1
stat -fc %T /sys/fs/cgroup/
# 查看kubelet版本
/usr/libexec/kubelet --version

修复建议

如需升级Kubelet版本，请通过工单形式联系售后为您升级。