設定檔適用性:等級 1 - 主節點
etcd 應配置為同儕驗證。
etcd 是一個高可用的鍵值存儲,用於 Kubernetes 部署中持久存儲其所有 REST API 對象。這些對象性質敏感,應僅由 etcd 叢集中的已驗證 etcd
節點訪問。
 |
注意此建議僅適用於 etcd 叢集。如果您的環境中僅使用一個 etcd 伺服器,則此建議不適用。
預設情況下,
--peer-client-cert-auth 參數設置為 false。 |
影響
所有嘗試與 etcd 伺服器通訊的對等端都需要有效的用戶端憑證進行驗證。
稽核
在 etcd 伺服器節點上執行以下命令:
ps -ef | grep etcd
驗證
--peer-client-cert-auth 參數是否設為 true。 |
注意此建議僅適用於 etcd 叢集。如果您的環境中僅使用一個 etcd 伺服器,則此建議不適用。
|
補救
在主節點上編輯 etcd Pod 規範檔案
/etc/kubernetes/manifests/etcd.yaml,並設定以下參數。--peer-client-cert-auth=true