設定檔適用性:等級 1 - 主節點
etcd 應配置為使用 TLS 加密來進行同伴連接。
etcd 是一個高可用的鍵值存儲,用於 Kubernetes 部署中持久存儲其所有 REST API 對象。這些對象性質敏感,應在傳輸過程中以及在 etcd 叢集中的節點之間進行加密。
 |
注意此建議僅適用於 etcd 叢集。如果您的環境中僅使用一個 etcd 伺服器,則此建議不適用。
預設情況下,未配置透過 TLS 的對等通信。
|
影響
etcd 叢集的節點需要設置 TLS 來進行通訊。
稽核
在 etcd 伺服器節點上執行以下命令:
ps -ef | grep etcd
確認
--peer-cert-file 和 --peer-key-file 參數已正確設定。 |
注意此建議僅適用於 etcd 叢集。如果您的環境中僅使用一個 etcd 伺服器,則此建議不適用。
|
補救
請遵循 etcd 服務文件,並為您的 etcd 叢集適當配置對等 TLS 加密。
然後,在主節點上編輯 etcd pod 規範檔案
/etc/kubernetes/manifests/etcd.yaml,並設定以下參數。--peer-client-file=</path/to/peer-cert-file> --peer-key-file=</path/to/peer-key-file>