Profilanwendbarkeit: Stufe 1 - Masterknoten
Binden Sie den Controller-Manager-Dienst nicht an unsichere Nicht-Loopback-Adressen.
Der Controller-Manager-API-Dienst, der standardmäßig auf Port 10252/TCP läuft, wird
für Gesundheits- und Metrikinformationen verwendet und ist ohne Authentifizierung
oder Verschlüsselung verfügbar. Daher sollte er nur an eine localhost-Schnittstelle
gebunden werden, um die Angriffsfläche des Clusters zu minimieren.
 |
HinweisStandardmäßig ist der Parameter
--bind-address auf 0.0.0.0 gesetzt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-controller-manager
Überprüfen Sie, ob das Argument
--bind-address auf 127.0.0.1 gesetzt istWiederherstellung
Bearbeiten Sie die Controller-Manager-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-controller-manager.yaml auf dem Steuerknoten und stellen Sie sicher, dass der korrekte Wert für den Parameter
--bind-address festgelegt ist. |
HinweisObwohl die aktuelle Kubernetes-Dokumentationsseite angibt, dass
--address zugunsten von --bind-address veraltet ist, verwendet Kubeadm 1.11 weiterhin --address. |