Profilanwendbarkeit: Stufe 1 - Masterknoten
Verwenden Sie keine tokenbasierte Authentifizierung.
Die tokenbasierte Authentifizierung verwendet statische Tokens, um Anfragen an den
Apiserver zu authentifizieren. Die Tokens werden im Klartext in einer Datei auf dem
Apiserver gespeichert und können nicht widerrufen oder geändert werden, ohne den Apiserver
neu zu starten. Daher sollten Sie keine statische tokenbasierte Authentifizierung
verwenden.
 |
HinweisStandardmäßig ist das Argument
--token-auth-file nicht festgelegt. |
Auswirkung
Sie müssen alternative Authentifizierungsmechanismen wie Zertifikate konfigurieren
und verwenden. Eine statische tokenbasierte Authentifizierung konnte nicht verwendet
werden.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, dass das Argument
--token-auth-file nicht existiert.Alternative Prüfverfahren
kubectl get pod -nkube-system -lcomponent=kube-apiserver -o=jsonpath='{range
.items[]}{.spec.containers[].command} {"\n"}{end}' | grep '--token-auth-file' | grep -i false
Wenn der Exit-Code '1' ist, dann ist die Steuerung nicht vorhanden / fehlgeschlagen.
Wiederherstellung
Befolgen Sie die Dokumentation und konfigurieren Sie alternative Mechanismen zur Authentifizierung.
Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und entfernen Sie den Parameter --token-auth-file=<filename>.