Profilanwendbarkeit: Stufe 1 Masterknoten
Verschlüsseln Sie den etcd-Schlüssel-Wert-Speicher.
etcd ist ein hochverfügbarer Key-Value-Store, der von Kubernetes-Bereitstellungen
für die dauerhafte Speicherung aller seiner REST-API-Objekte verwendet wird. Diese
Objekte sind sensibel und sollten im Ruhezustand verschlüsselt werden, um Offenlegungen
zu vermeiden.
 |
HinweisStandardmäßig ist
--encryption-provider-config nicht festgelegt. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsknoten aus:
ps -ef | grep kube-apiserver
Überprüfen Sie, ob das Argument
--encryption-provider-config auf eine EncryptionConfig-Datei gesetzt ist. Stellen Sie außerdem sicher, dass die EncryptionConfig-Datei alle gewünschten Ressourcen abdeckt, insbesondere alle Geheimnisse.Wiederherstellung
Befolgen Sie die Kubernetes-Dokumentation und konfigurieren Sie eine
EncryptionConfig-Datei. Bearbeiten Sie dann die API-Server-Pod-Spezifikationsdatei /etc/kubernetes/manifests/kube-apiserver.yaml auf dem Master-Knoten und setzen Sie den --encryption-provider-config-Parameter auf den Pfad dieser Datei:--encryption-provider-config=</path/to/EncryptionConfig/File>