Ansichten:
Profilanwendbarkeit: Stufe 1
Verwenden Sie HTTPS für Kubelet-Verbindungen.
Verbindungen von apiserver zu kubelets könnten potenziell sensible Daten wie Geheimnisse und Schlüssel übertragen. Daher ist es wichtig, eine Verschlüsselung während der Übertragung für jede Kommunikation zwischen apiserver und kubelets zu verwenden.
Hinweis
Hinweis
Standardmäßig sind kubelet-Verbindungen verschlüsselt.

Auswirkung

Sie müssen TLS sowohl auf apiserver als auch auf kubelets konfigurieren.

Prüfung

OpenShift verwendet nicht das Argument --kubelet-https. OpenShift nutzt X.509-Zertifikate für die Authentifizierung der Steuerungskomponenten. OpenShift konfiguriert den API-Server so, dass eine interne Zertifizierungsstelle (CA) verwendet wird, um das während der TLS-Aushandlung gesendete Benutzerzertifikat zu validieren. Wenn die Validierung des Zertifikats erfolgreich ist, wird die Anfrage authentifiziert und Benutzerinformationen werden aus den Zertifikatsbetrefffeldern abgeleitet.
Um zu überprüfen, ob die kubelet Client-Zertifikate vorhanden sind, führen Sie den folgenden Befehl aus:
oc get configmap config -n openshift-kube-apiserver -ojson | jq -r 
'.data["config.yaml"]' | jq '.apiServerArguments["kubelet-client-
certificate"]' 

oc get configmap config -n openshift-kube-apiserver -ojson | jq -r 
'.data["config.yaml"]' | jq '.apiServerArguments["kubelet-client-key"]' 

oc -n openshift-apiserver describe secret serving-cert 

# Run the following command and the output should return true or no output at all 

oc get configmap config -n openshift-kube-apiserver -ojson | jq -r 
'.data["config.yaml"]' | jq '.apiServerArguments["kubelet-https"]'
Überprüfen Sie, ob die kubelet-Client-Zertifikat- und kubelet-Client-Schlüsseldateien vorhanden sind.
Client-Zertifikat:
/etc/kubernetes/static-pod-resources/kube-apiserver-certs/secrets/kubelet-client/tls.crt
Client-Schlüssel:
/etc/kubernetes/static-pod-resources/kube-apiserver-certs/secrets/kubelet-client/tls.key
Überprüfen Sie, dass das serving-cert für das openshift-apiserver vom Typ kubernetes.io/tls ist und dass die zurückgegebenen Daten tls.crt und tls.key enthalten.

Wiederherstellung

Keine Abhilfemaßnahmen erforderlich. OpenShift-Plattform-Komponenten verwenden X.509-Zertifikate für die Authentifizierung. OpenShift verwaltet die CAs und Zertifikate für Plattform-Komponenten. Dies ist nicht konfigurierbar.