Profilanwendbarkeit: Stufe 1 - Masterknoten
Erteilen Sie nicht immer allen Anfragen die Genehmigung.
Der API-Server kann so konfiguriert werden, dass er alle Anfragen zulässt. Dieser
Modus sollte in keinem Produktionscluster verwendet werden.
 |
HinweisStandardmäßig ist
AlwaysAllow nicht aktiviert. |
Auswirkung
Nur autorisierte Anfragen werden bedient.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--authorization-mode existiert und nicht auf AlwaysAllow gesetzt ist.Wiederherstellung
Bearbeiten Sie die API-Server-Podspezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Steuerknoten und setzen Sie den Parameter --authorization-mode auf andere Werte als AlwaysAllow. Beispiel unten:--authorization-mode=RBAC