設定檔適用性:等級 1 - 主節點
在 etcd 服務上啟用客戶端驗證。
etcd 是一個高可用的鍵值存儲,Kubernetes 部署使用它來持久存儲所有的 REST API 物件。這些物件性質敏感,不應提供給未經驗證的客戶端。您應該透過有效的憑證啟用客戶端驗證,以確保對
etcd 服務的存取安全。
 |
注意預設情況下,etcd 服務可以被未經身份驗證的客戶端查詢。
|
影響
所有嘗試存取 etcd 伺服器的用戶端都需要有效的用戶端憑證。
稽核
在 etcd 伺服器節點上執行以下命令:
ps -ef | grep etcd
驗證
--client-cert-auth 參數是否設為 true。補救
在主節點上編輯 etcd pod 規範檔案
/etc/kubernetes/manifests/etcd.yaml,並設定以下參數。--client-cert-auth="true"