Profilanwendbarkeit: Stufe 2 - Masterknoten
Begrenzen Sie die
Node und Pod Objekte, die ein Kubelet ändern könnte.Die Verwendung des
NodeRestriction-Plug-ins stellt sicher, dass der Kubelet auf die Node- und Pod-Objekte beschränkt ist, die er gemäß der Definition ändern könnte. Solche Kubelets
dürfen nur ihr eigenes Node-API-Objekt ändern und nur Pod-API-Objekte modifizieren, die an ihren Knoten gebunden sind. |
HinweisStandardmäßig ist
NodeRestriction nicht festgelegt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--enable-admission-plugins auf einen Wert gesetzt ist, der NodeRestriction enthält.Wiederherstellung
Befolgen Sie die Kubernetes-Dokumentation und konfigurieren Sie das
NodeRestriction-Plug-in auf den Kubelets. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und setzen Sie den --enable-admission-plugins-Parameter auf einen Wert, der NodeRestriction enthält.--enable-admission-plugins=...,NodeRestriction,...