Profilanwendbarkeit: Stufe 1 - Masterknoten
Verwenden Sie keine selbstsignierten Zertifikate für TLS.
etcd ist ein hochverfügbarer Schlüssel-Wert-Speicher, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten nicht für nicht authentifizierte Clients verfügbar
sein. Sie sollten die Client-Authentifizierung über gültige Zertifikate aktivieren,
um den Zugriff auf den etcd-Dienst zu sichern.
 |
HinweisStandardmäßig ist
--auto-tls auf false eingestellt. |
Auswirkung
Clients können keine selbstsignierten Zertifikate für TLS verwenden.
Prüfung
Führen Sie den folgenden Befehl auf dem etcd-Serverknoten aus:
ps -ef | grep etcd
Überprüfen Sie, ob das Argument
--auto-tls existiert und nicht auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die etcd-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/etcd.yaml auf dem Master-Knoten und entfernen Sie entweder den Parameter --auto-tls oder setzen Sie ihn auf false.--auto-tls=false