Profilanwendbarkeit: Stufe 1 - Masterknoten
Erlauben Sie Pods, das Dienstzertifikat des API-Servers zu überprüfen, bevor Verbindungen
hergestellt werden.
Prozesse, die innerhalb von Pods laufen und den API-Server kontaktieren müssen, müssen
das Dienstzertifikat des API-Servers überprüfen. Andernfalls könnten sie Ziel von
Man-in-the-Middle-Angriffen werden.
Das Bereitstellen des Stammzertifikats für das Dienstzertifikat des API-Servers an
den Controller-Manager mit dem Argument
--root-ca-file ermöglicht es dem Controller-Manager, das vertrauenswürdige Paket in Pods zu injizieren,
sodass diese TLS-Verbindungen zum API-Server verifizieren können. |
HinweisStandardmäßig ist
--root-ca-file nicht festgelegt. |
Auswirkung
Sie müssen die Datei der Stammzertifizierungsstelle einrichten und pflegen.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-controller-manager
Überprüfen Sie, dass das
--root-ca-file-Argument existiert und auf eine Zertifikat-Bundle-Datei gesetzt ist, die das Root-Zertifikat
für das Dienstzertifikat des API-Servers enthält.Wiederherstellung
Bearbeiten Sie die Controller-Manager-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-controller-manager.yaml auf dem Steuerknoten und setzen Sie den Parameter --root-ca-file auf die Zertifikat-Bündeldatei.--root-ca-file=<path/to/file>