漏洞概述 该页面展示了一个关于 IPsec 隧道支持 IPv6 流量 的 Pull Request (#7759)。在双栈(Dual-stack)Kubernetes 集群中,当启用 IPsec 加密时,原有的逻辑可能导致 IPv6 流量无法正确路由到 IPsec 隧道,从而导致 IPv6 流量未加密传输,存在数据泄露风险。 影响范围 环境: 启用了 IPsec 加密且配置为双栈(Dual-stack)的 Kubernetes 集群。 组件: 涉及 和 模块。 修复方案 修改了流安装逻辑(Flow installation logic),确保当 IPsec 启用时,所有流量(包括 IPv6)都通过主隧道(Primary Tunnel,优先使用 IPv4,若无则使用 IPv6)进行路由,从而保证所有流量都能通过 IPsec 隧道并被加密。 代码变更 主要涉及以下文件的逻辑修改: 1. pkg/agent/openflow/client.go 2. pkg/agent/controller/noderoute/node_route_controller.go 3. Copilot 建议的更严谨的空值检查逻辑