設定檔適用性:等級 1 - 工作節點
請勿允許所有請求。啟用明確授權。
預設情況下,Kubelets 允許所有已驗證的請求(即使是匿名的)而不需要 apiserver 的明確授權檢查。您應該限制此行為,僅允許明確授權的請求。
 |
注意預設情況下,
--authorization-mode 參數設置為 AlwaysAllow。 |
影響
未授權的請求將被拒絕。
稽核
在每個節點上執行下列命令:
ps -ef | grep kubelet
如果存在
--authorization-mode 參數,請檢查其是否未設置為 AlwaysAllow。如果未存在,請檢查是否有由 --config 指定的 Kubelet 配置文件,並且該文件將 authorization: mode 設置為非 AlwaysAllow。也可以透過 Kubelet API 埠(通常為
10250/TCP)上的 /configz 端點來檢視 Kubelet 的執行配置。使用適當的憑證進行存取將提供 Kubelet 配置的詳細資訊。補救
如果使用 Kubelet 配置檔案,請編輯檔案以將
authorization: mode 設定為 Webhook。如果使用可執行參數,請在每個工作節點上編輯 kubelet 服務檔案
/etc/kubernetes/kubelet.conf,並在 KUBELET_AUTHZ_ARGS 變數中設定以下參數。--authorization-mode=Webhook
根據您的系統,重新啟動
kubelet服務。例如:systemctl daemon-reload systemctl restart kubelet.service