Profilanwendbarkeit: Stufe 1 - Masterknoten
Verwenden Sie keine tokenbasierte Authentifizierung.
Die tokenbasierte Authentifizierung verwendet statische Tokens, um Anfragen an den
Apiserver zu authentifizieren. Die Tokens werden im Klartext in einer Datei auf dem
Apiserver gespeichert und können nicht widerrufen oder erneuert werden, ohne den Apiserver
neu zu starten. Verwenden Sie daher keine statische tokenbasierte Authentifizierung.
 |
HinweisStandardmäßig ist das Argument
--token-auth-file nicht festgelegt. |
Auswirkung
Sie müssen alternative Authentifizierungsmechanismen wie Zertifikate konfigurieren
und verwenden. Eine auf statischen Tokens basierende Authentifizierung kann nicht
verwendet werden.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, dass das Argument
--token-auth-file nicht existiert.Alternative Prüfverfahren
kubectl get pod -nkube-system -lcomponent=kube-apiserver -o=jsonpath='{range
.items[]}{.spec.containers[].command} {"\n"}{end}' | grep '--token-auth-file' | grep -i false
Wenn der Exit-Code '1' ist, dann ist die Steuerung nicht vorhanden / fehlgeschlagen.
Wiederherstellung
Befolgen Sie die Dokumentation und konfigurieren Sie alternative Mechanismen für die
Authentifizierung. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und entfernen Sie den Parameter --token-auth-file=<filename>.