Profilanwendbarkeit: Stufe 1 - Masterknoten
Beschränken Sie Kubelet-Knoten darauf, nur mit ihnen verbundene Objekte zu lesen.
Der
Node-Autorisierungsmodus erlaubt es Kubelets nur, Secret-, ConfigMap-, PersistentVolume- und PersistentVolumeClaim-Objekte zu lesen, die mit ihren Knoten verbunden sind. |
HinweisStandardmäßig ist die
Node-Autorisierung nicht aktiviert. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--authorization-mode existiert und auf einen Wert gesetzt ist, der Node einschließt.Wiederherstellung
Bearbeiten Sie die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Steuerknoten und setzen Sie den Parameter --authorization-mode auf einen Wert, der Node enthält.--authorization-mode=Node,RBAC