Profilanwendbarkeit: Stufe 1 - Masterknoten
Beschränken Sie Kubelet-Knoten darauf, nur Objekte zu lesen, die mit ihnen verknüpft
sind.
Der
Node-Autorisierungsmodus erlaubt es Kubelets nur, Secret-, ConfigMap-, PersistentVolume- und PersistentVolumeClaim-Objekte zu lesen, die ihren Knoten zugeordnet sind. |
HinweisStandardmäßig ist die
Node-Autorisierung nicht aktiviert. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--authorization-mode existiert und auf einen Wert gesetzt ist, der Node einschließt.Wiederherstellung
Bearbeiten Sie die API-Server-Podspezifikationsdatei
/etc/kubernetes/manifests/kube-apiserver.yaml auf dem Steuerknoten und setzen Sie den Parameter --authorization-mode auf einen Wert, der Node enthält.--authorization-mode=Node,RBAC