Profilanwendbarkeit: Stufe 1 - Masterknoten
etcd sollte so konfiguriert werden, dass TLS-Verschlüsselung für Client-Verbindungen
verwendet wird.
etcd ist ein hochverfügbarer Key-Value-Store, der von Kubernetes-Deployments für die
persistente Speicherung all seiner REST-API-Objekte verwendet wird. Diese Objekte
sind sensibel und sollten durch Client-Authentifizierung geschützt werden. Dies erfordert,
dass sich der API-Server gegenüber dem etcd-Server mit einem Client-Zertifikat und
Schlüssel identifiziert.
 |
HinweisStandardmäßig sind die Argumente
--etcd-certfile und --etcd-keyfile nicht festgelegt. |
Auswirkung
TLS und Client-Zertifikat-Authentifizierung müssen für etcd konfiguriert werden.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob die Argumente
--etcd-certfile und --etcd-keyfile vorhanden sind und ob sie entsprechend festgelegt sind.Wiederherstellung
Befolgen Sie die Kubernetes-Dokumentation und richten Sie die TLS-Verbindung zwischen
dem Apiserver und etcd ein. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und setzen Sie die etcd-Zertifikat- und Schlüsseldateiparameter.--etcd-certfile=<path/to/client-certificate-file> --etcd-keyfile=<path/to/client-key-file>