Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Binden Sie den kube-proxy-Metrikport nicht an Nicht-Loopback-Adressen.
kube-proxy verfügt über zwei APIs, die Zugriff auf Informationen über den Dienst bieten
und an Netzwerkports gebunden werden können. Der Metrics-API-Dienst umfasst Endpunkte
(
/metrics und /configz), die Informationen über die Konfiguration und den Betrieb von kube-proxy offenlegen.
Diese Endpunkte sollten nicht ungeschützten Netzwerken ausgesetzt werden, da sie keine
Verschlüsselung oder Authentifizierung unterstützen, um den Zugriff auf die von ihnen
bereitgestellten Daten einzuschränken. |
HinweisDer Standardwert ist
127.0.0.1:10249. |
Auswirkung
Drittanbieterdienste, die versuchen, auf Metriken oder Konfigurationsinformationen
im Zusammenhang mit kube-proxy zuzugreifen, benötigen Zugriff auf die localhost-Schnittstelle
des Knotens.
Prüfung
Überprüfen Sie die Startparameter, die dem Kube-Proxy bereitgestellt werden.
Führen Sie den folgenden Befehl auf jedem Knoten aus:
ps -ef | grep -i kube-proxy
Stellen Sie sicher, dass der Parameter
--metrics-bind-address nicht auf einen anderen Wert als 127.0.0.1 gesetzt ist. Ermitteln Sie aus der Ausgabe
dieses Befehls den im Parameter --config angegebenen Speicherort. Überprüfen Sie jede Datei, die an diesem Speicherort gespeichert
ist, und stellen Sie sicher, dass sie keinen anderen Wert als 127.0.0.1 für metricsBindAddress angibt.Wiederherstellung
Ändern oder entfernen Sie alle Werte, die den Metrics-Dienst an eine Nicht-Localhost-Adresse
binden.