Profilanwendbarkeit: Stufe 1 - Masterknoten
etcd sollte so konfiguriert werden, dass TLS-Verschlüsselung für Client-Verbindungen
verwendet wird.
etcd ist ein hochverfügbarer Schlüssel-Wert-Speicher, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten durch Client-Authentifizierung geschützt werden.
Dies erfordert, dass sich der API-Server gegenüber dem etcd-Server mit einem Client-Zertifikat
und Schlüssel identifiziert.
 |
HinweisStandardmäßig sind die Argumente
--etcd-certfile und --etcd-keyfile nicht festgelegt. |
Auswirkung
TLS und Client-Zertifikat-Authentifizierung müssen für etcd konfiguriert werden.
Prüfung
Führen Sie den folgenden Befehl auf dem Control-Plane-Knoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob die Argumente
--etcd-certfile und --etcd-keyfile existieren und ob sie entsprechend festgelegt sind.Wiederherstellung
Befolgen Sie die Kubernetes-Dokumentation und richten Sie die TLS-Verbindung zwischen
dem Apiserver und etcd ein. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und setzen Sie die etcd-Zertifikat- und Schlüsseldateiparameter.--etcd-certfile=<path/to/client-certificate-file> --etcd-keyfile=<path/to/client-key-file>