Profilanwendbarkeit: Stufe 1 - Masterknoten
Binden Sie den Controller-Manager-Dienst nicht an unsichere Nicht-Loopback-Adressen.
Der Controller Manager API-Dienst, der standardmäßig auf Port 10252/TCP läuft, wird
für Gesundheits- und Metrikinformationen verwendet und ist ohne Authentifizierung
oder Verschlüsselung verfügbar. Daher sollte er nur an eine localhost-Schnittstelle
gebunden werden, um die Angriffsfläche des Clusters zu minimieren.
 |
HinweisStandardmäßig ist der
--bind-address-Parameter auf 0.0.0.0 gesetzt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsknoten aus:
ps -ef | grep kube-controller-manager
Überprüfen Sie, ob das Argument
--bind-address auf 127.0.0.1 gesetzt istWiederherstellung
Bearbeiten Sie die Controller-Manager-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-controller-manager.yaml auf dem Steuerungsebenenknoten und stellen Sie sicher, dass der korrekte Wert für
den Parameter --bind-address festgelegt ist. |
HinweisObwohl die aktuelle Kubernetes-Dokumentationsseite angibt, dass
--address zugunsten von --bind-address veraltet ist, verwendet Kubeadm 1.11 immer noch --address. |