Profilanwendbarkeit: Stufe 1 - Masterknoten
Verwenden Sie keine selbstsignierten Zertifikate für TLS.
etcd ist ein hochverfügbarer Key-Value-Store, der von Kubernetes-Deployments für die
persistente Speicherung aller seiner REST-API-Objekte verwendet wird. Diese Objekte
sind sensibel und sollten nicht für nicht authentifizierte Clients zugänglich sein.
Sie sollten die Client-Authentifizierung über gültige Zertifikate aktivieren, um den
Zugriff auf den etcd-Dienst abzusichern.
 |
HinweisStandardmäßig ist
--auto-tls auf false eingestellt. |
Auswirkung
Clients können keine selbstsignierten Zertifikate für TLS verwenden.
Prüfung
Führen Sie den folgenden Befehl auf dem etcd-Serverknoten aus:
ps -ef | grep etcd
Überprüfen Sie, ob das Argument
--auto-tls existiert und nicht auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die etcd-Podspezifikationsdatei
/etc/kubernetes/manifests/etcd.yaml auf dem Master-Knoten und entfernen Sie entweder den Parameter --auto-tls oder setzen Sie ihn auf false.--auto-tls=false