Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Binden Sie den kube-Proxy-Metrikport nicht an Nicht-Loopback-Adressen.
kube-proxy verfügt über zwei APIs, die Zugriff auf Informationen über den Dienst bieten
und an Netzwerkports gebunden werden können. Der Metrik-API-Dienst umfasst Endpunkte
(
/metrics und /configz), die Informationen über die Konfiguration und den Betrieb von kube-proxy offenlegen.
Diese Endpunkte sollten nicht ungeschützten Netzwerken ausgesetzt werden, da sie keine
Verschlüsselung oder Authentifizierung unterstützen, um den Zugriff auf die bereitgestellten
Daten zu beschränken. |
HinweisDer Standardwert ist
127.0.0.1:10249. |
Auswirkung
Drittanbieterdienste, die versuchen, auf Metriken oder Konfigurationsinformationen
im Zusammenhang mit kube-proxy zuzugreifen, benötigen Zugriff auf die Localhost-Schnittstelle
des Knotens.
Prüfung
Überprüfen Sie die Start-Flags, die dem Kube-Proxy bereitgestellt werden.
ps -ef | grep -i kube-proxy
Stellen Sie sicher, dass der Parameter
--metrics-bind-address nicht auf einen anderen Wert als 127.0.0.1 gesetzt ist. Sammeln Sie aus der Ausgabe
dieses Befehls den im Parameter --config angegebenen Speicherort. Überprüfen Sie jede Datei, die an diesem Speicherort gespeichert
ist, und stellen Sie sicher, dass sie keinen anderen Wert als 127.0.0.1 für metricsBindAddress angibt.Wiederherstellung
Ändern oder entfernen Sie alle Werte, die den Metrikdienst an eine Nicht-Localhost-Adresse
binden.