Profilanwendbarkeit: Stufe 1
Verschlüsseln Sie den etcd-Schlüssel-Wert-Speicher.
etcd ist ein hochverfügbarer Schlüssel-Wert-Speicher, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibler Natur und sollten im Ruhezustand verschlüsselt werden, um Offenlegungen
zu vermeiden.
 |
HinweisStandardmäßig ist
--encryption-provider-config nicht festgelegt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-apiserver
Stellen Sie sicher, dass das Argument
--encryption-provider-config auf eine EncryptionConfig-Datei gesetzt ist. Stellen Sie außerdem sicher, dass die EncryptionConfig-Datei alle gewünschten resources abdeckt, insbesondere alle Geheimnisse.Wiederherstellung
Befolgen Sie die Kubernetes-Dokumentation und konfigurieren Sie eine EncryptionConfig-Datei.
Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und setzen Sie den --encryption-provider-config-Parameter auf den Pfad dieser Datei:--encryption-provider-config=</path/to/EncryptionConfig/File>