Profilanwendbarkeit: Stufe 2 - Masterknoten
Automatisieren Sie die Verwaltung von Dienstkonten.
Wenn Sie ein Pod erstellen und kein Servicekonto angeben, wird ihm automatisch das
default Servicekonto im selben Namespace zugewiesen. Sie sollten Ihr eigenes Servicekonto
erstellen und den API-Server seine Sicherheitstoken verwalten lassen. |
HinweisStandardmäßig ist
ServiceAccount eingestellt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, dass das Argument
--disable-admission-plugins auf einen Wert gesetzt ist, der ServiceAccount nicht enthält.Wiederherstellung
Befolgen Sie die Dokumentation und erstellen Sie
ServiceAccount-Objekte entsprechend Ihrer Umgebung. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und stellen Sie sicher, dass der Parameter --disable-admission-plugins auf einen Wert gesetzt ist, der ServiceAccount nicht enthält.