Profilanwendbarkeit: Stufe 1 - Masterknoten
Aktivieren Sie die Client-Authentifizierung für den etcd-Dienst.
etcd ist ein hochverfügbarer Key-Value-Store, der von Kubernetes-Bereitstellungen
für die persistente Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten nicht für nicht authentifizierte Clients zugänglich
sein. Sie sollten die Client-Authentifizierung über gültige Zertifikate aktivieren,
um den Zugriff auf den etcd-Dienst abzusichern.
 |
HinweisStandardmäßig kann der etcd-Dienst von nicht authentifizierten Clients abgefragt werden.
|
Auswirkung
Alle Clients, die versuchen, auf den etcd-Server zuzugreifen, benötigen ein gültiges
Client-Zertifikat.
Prüfung
Führen Sie den folgenden Befehl auf dem etcd-Serverknoten aus:
ps -ef | grep etcd
Überprüfen Sie, ob das Argument
--client-cert-auth auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die etcd-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/etcd.yaml auf dem Master-Knoten und setzen Sie den untenstehenden Parameter.--client-cert-auth="true"