Profilanwendbarkeit: Stufe 1 - Masterknoten
Verwenden Sie keine automatisch generierten, selbstsignierten Zertifikate für TLS-Verbindungen
zwischen Peers.
etcd ist ein hochverfügbarer Key-Value-Store, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten nur von authentifizierten etcd-Peers im etcd-Cluster
zugänglich sein. Verwenden Sie daher keine selbstsignierten Zertifikate für die Authentifizierung.
 |
HinweisDiese Empfehlung gilt nur für etcd-Cluster. Wenn Sie in Ihrer Umgebung nur einen etcd-Server
verwenden, ist diese Empfehlung nicht anwendbar.
|
|
HinweisStandardmäßig ist das Argument
--peer-auto-tls auf false gesetzt. |
Auswirkung
Alle Peers, die versuchen, mit dem etcd-Server zu kommunizieren, benötigen ein gültiges
Client-Zertifikat zur Authentifizierung.
Prüfung
Führen Sie den folgenden Befehl auf dem etcd-Serverknoten aus:
ps -ef | grep etcd
Überprüfen Sie, ob das Argument
--peer-auto-tls existiert und nicht auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die etcd-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/etcd.yaml auf dem Master-Knoten und entfernen Sie entweder den Parameter --peer-auto-tls oder setzen Sie ihn auf false.--peer-auto-tls=false