Profilanwendbarkeit: Stufe 1 - Masterknoten
Erlauben Sie Pods, das Zertifikat des API-Servers zu überprüfen, bevor Verbindungen
hergestellt werden.
Prozesse, die innerhalb von Pods laufen und den API-Server kontaktieren müssen, müssen
das Zertifikat des API-Servers überprüfen. Wenn dies nicht geschieht, könnte dies
zu Man-in-the-Middle-Angriffen führen.
Das Bereitstellen des Stammzertifikats für das Dienstzertifikat des API-Servers an
den Controller-Manager mit dem
--root-ca-file-Argument ermöglicht es dem Controller-Manager, das vertrauenswürdige Paket in Pods
zu injizieren, sodass diese TLS-Verbindungen zum API-Server überprüfen können. |
HinweisStandardmäßig ist
--root-ca-file nicht festgelegt. |
Auswirkung
Sie müssen die Stammzertifizierungsstellen-Datei einrichten und pflegen.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsknoten aus:
ps -ef | grep kube-controller-manager
Überprüfen Sie, dass das Argument
--root-ca-file existiert und auf eine Zertifikat-Bundle-Datei gesetzt ist, die das Root-Zertifikat
für das Dienstzertifikat des API-Servers enthält.Wiederherstellung
Bearbeiten Sie die Controller-Manager-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-controller-manager.yaml auf dem Steuerknoten und setzen Sie den --root-ca-file-Parameter auf die Zertifikat-Bundle-Datei.--root-ca-file=<path/to/file>