Profilanwendbarkeit: Stufe 1 - Masterknoten
etcd sollte so konfiguriert werden, dass TLS-Verschlüsselung für Client-Verbindungen
verwendet wird.
etcd ist ein hochverfügbarer Key-Value-Store, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten durch Client-Authentifizierung geschützt werden.
Dies erfordert, dass sich der API-Server gegenüber dem etcd-Server mit einer SSL-Zertifizierungsstellen-Datei
identifiziert.
 |
HinweisStandardmäßig ist
--etcd-cafile nicht festgelegt. |
Auswirkung
TLS und Client-Zertifikat-Authentifizierung müssen für etcd konfiguriert werden.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--etcd-cafile existiert und entsprechend festgelegt ist.Wiederherstellung
Befolgen Sie die Kubernetes-Dokumentation und richten Sie die TLS-Verbindung zwischen
dem Apiserver und etcd ein. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und setzen Sie den Parameter für die etcd-Zertifizierungsstellen-Datei.--etcd-cafile=<path/to/ca-file>