Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Nicht alle Anfragen zulassen. Explizite Autorisierung aktivieren.
Standardmäßig erlauben Kubelets alle authentifizierten Anfragen (auch anonyme) ohne
ausdrückliche Autorisierungsprüfungen vom Apiserver. Sie sollten dieses Verhalten
einschränken und nur ausdrücklich autorisierte Anfragen zulassen.
 |
HinweisStandardmäßig ist das Argument
--authorization-mode auf AlwaysAllow gesetzt. |
Auswirkung
Unbefugte Anfragen werden abgelehnt.
Prüfung
Führen Sie den folgenden Befehl auf jedem Knoten aus:
ps -ef | grep kubelet
Wenn das
--authorization-mode-Argument vorhanden ist, überprüfen Sie, dass es nicht auf AlwaysAllow gesetzt ist. Wenn es nicht vorhanden ist, überprüfen Sie, dass eine Kubelet-Konfigurationsdatei
durch --config angegeben ist und dass diese Datei authorization: mode auf etwas anderes als AlwaysAllow setzt.Es ist auch möglich, die laufende Konfiguration eines Kubelet über den
/configz-Endpunkt am Kubelet-API-Port (typischerweise 10250/TCP) zu überprüfen. Der Zugriff mit den entsprechenden Anmeldedaten liefert Details zur
Konfiguration des Kubelet.Wiederherstellung
Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um
authorization: mode auf Webhook zu setzen. Wenn Sie ausführbare Argumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei
/etc/kubernetes/kubelet.conf auf jedem Worker-Knoten und setzen Sie den untenstehenden Parameter in der Variablen
KUBELET_AUTHZ_ARGS.--authorization-mode=Webhook
Basierend auf Ihrem System starten Sie den
kubelet-Dienst neu. Zum Beispiel:systemctl daemon-reload systemctl restart kubelet.service