設定檔適用性:等級 1
關閉唯讀埠。
Kubelet 程序除了主要的 Kubelet API 外,還提供了一個唯讀 API。此唯讀 API 提供未經身份驗證的訪問,可能會檢索到有關叢集的潛在敏感信息。
 |
注意請參閱 Azure AKS 文件以了解預設值。
|
影響
刪除唯讀端口將需要重新配置任何使用該端口的服務,以使用主要的 Kubelet API。
稽核
如果使用 Kubelet 配置檔案,請檢查是否有
authentication:anonymous: enabled 的項目設置為 0。-
SSH到相關節點。
-
在每個節點上執行以下命令以找到適當的 Kubelet 配置檔案:
ps -ef | grep kubelet
輸出應返回類似於--config /etc/kubernetes/kubelet/kubelet-config.json的內容,這是 Kubelet 配置檔案的位置信息。 -
打開 Kubelet 配置檔案:
cat /etc/kubernetes/kubelet/kubelet-config.json
-
驗證
--read-only-port參數是否存在並設定為0。如果沒有--read-only-port參數,請檢查是否有由--config指定的 Kubelet 配置檔案。檢查檔案中是否有readOnlyPort項目,並確認其設定為0。
補救
如果要修改 Kubelet 配置檔案,請編輯
kubelet-config.json 檔案 /etc/kubernetes/kubelet/kubelet-config.json,並將以下參數設為 false:readOnlyPort to 0
如果使用可執行參數,請在每個工作節點上編輯 kubelet 服務檔案
/etc/systemd/system/kubelet.service.d/10-kubelet-args.conf,並在 KUBELET_ARGS 變數字串的末尾添加以下參數:--read-only-port=0
For all remediations:根據您的系統,重新啟動
kubelet服務並檢查狀態:systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l