Profilanwendbarkeit: Stufe 1 - Masterknoten
etcd sollte so konfiguriert werden, dass TLS-Verschlüsselung für Peer-Verbindungen
verwendet wird.
etcd ist ein hochverfügbarer Schlüssel-Wert-Speicher, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten während der Übertragung und auch zwischen den Peers
in den etcd-Clustern verschlüsselt werden.
 |
HinweisDiese Empfehlung gilt nur für etcd-Cluster. Wenn Sie in Ihrer Umgebung nur einen etcd-Server
verwenden, ist diese Empfehlung nicht anwendbar.
|
|
HinweisStandardmäßig ist die Peer-Kommunikation über TLS nicht konfiguriert.
|
Auswirkung
etcd-Cluster-Peers müssen TLS für ihre Kommunikation einrichten.
Prüfung
Führen Sie den folgenden Befehl auf dem etcd-Serverknoten aus:
ps -ef | grep etcd
Überprüfen Sie, ob die Argumente
--peer-cert-file und --peer-key-file entsprechend festgelegt sind.Wiederherstellung
Befolgen Sie die etcd-Dokumentation und konfigurieren Sie die Peer-TLS-Verschlüsselung
entsprechend für Ihren etcd-Cluster. Bearbeiten Sie dann die etcd-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/etcd.yaml auf dem Master-Knoten und setzen Sie die untenstehenden Parameter.--peer-client-file=</path/to/peer-cert-file> --peer-key-file=</path/to/peer-key-file>