Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Binden Sie den kube-Proxy-Metrikport nicht an Nicht-Loopback-Adressen.
kube-proxy verfügt über zwei APIs, die Zugriff auf Informationen über den Dienst bieten
und an Netzwerkports gebunden werden können. Der Metrik-API-Dienst umfasst Endpunkte
(
/metrics und /configz), die Informationen über die Konfiguration und den Betrieb von kube-proxy offenlegen.
Diese Endpunkte sollten nicht ungeschützten Netzwerken ausgesetzt werden, da sie keine
Verschlüsselung oder Authentifizierung unterstützen, um den Zugriff auf die von ihnen
bereitgestellten Daten einzuschränken. |
HinweisDer Standardwert ist
127.0.0.1:10249. |
Auswirkung
Drittanbieterdienste, die versuchen, auf Metriken oder Konfigurationsinformationen
im Zusammenhang mit kube-proxy zuzugreifen, benötigen Zugriff auf die Localhost-Schnittstelle
des Knotens.
Prüfung
Überprüfen Sie die Start-Flags, die dem Kube-Proxy bereitgestellt werden.
ps -ef | grep -i kube-proxy
Stellen Sie sicher, dass der
--metrics-bind-address-Parameter nicht auf einen anderen Wert als 127.0.0.1 gesetzt ist. Sammeln Sie aus
der Ausgabe dieses Befehls den im --config-Parameter angegebenen Speicherort. Überprüfen Sie jede Datei, die an diesem Speicherort
gespeichert ist, und stellen Sie sicher, dass sie keinen anderen Wert als 127.0.0.1
für metricsBindAddress angibt.Wiederherstellung
Ändern oder entfernen Sie alle Werte, die den Metrikdienst an eine Nicht-Localhost-Adresse
binden.