Profilanwendbarkeit: Stufe 1 - Masterknoten
Richten Sie die TLS-Verbindung auf dem API-Server ein.
Die Kommunikation mit dem API-Server enthält sensible Parameter, die während der Übertragung
verschlüsselt bleiben sollten. Konfigurieren Sie den API-Server so, dass er nur HTTPS-Verkehr
bedient. Wenn das Argument
--client-ca-file gesetzt ist, wird jede Anfrage, die ein Client-Zertifikat vorlegt, das von einer
der Behörden im client-ca-file signiert wurde, mit einer Identität authentifiziert, die dem CommonName des Client-Zertifikats
entspricht. |
HinweisStandardmäßig ist das Argument
--client-ca-file nicht festgelegt. |
Auswirkung
TLS und Client-Zertifikat-Authentifizierung müssen für Ihre Kubernetes-Cluster-Bereitstellung
konfiguriert werden.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--client-ca-file existiert und entsprechend festgelegt ist.Wiederherstellung
Befolgen Sie die Kubernetes-Dokumentation und richten Sie die TLS-Verbindung auf dem
Apiserver ein. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und legen Sie die Client-Zertifikatsbehörde-Datei fest.--client-ca-file=<path/to/client-ca-file>