Profilanwendbarkeit: Stufe 2 - Masterknoten
Automatisieren Sie die Verwaltung von Dienstkonten.
Wenn Sie ein Pod erstellen und kein Servicekonto angeben, wird ihm automatisch das
default-Servicekonto im selben Namespace zugewiesen. Sie sollten Ihr eigenes Servicekonto
erstellen und den API-Server seine Sicherheitstoken verwalten lassen. |
HinweisStandardmäßig ist
ServiceAccount eingestellt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Control-Plane-Knoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, dass das
--disable-admission-plugins-Argument auf einen Wert gesetzt ist, der ServiceAccount nicht enthält.Wiederherstellung
Befolgen Sie die Dokumentation und erstellen Sie
ServiceAccount-Objekte entsprechend Ihrer Umgebung. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und stellen Sie sicher, dass der --disable-admission-plugins-Parameter auf einen Wert gesetzt ist, der ServiceAccount nicht enthält.