Profilanwendbarkeit: Stufe 1
Deaktivieren Sie den schreibgeschützten Port.
Der Kubelet-Prozess stellt zusätzlich zur Haupt-Kubelet-API eine schreibgeschützte
API bereit. Unauthentifizierter Zugriff wird auf diese schreibgeschützte API gewährt,
was möglicherweise potenziell sensible Informationen über den Cluster abrufen könnte.
 |
HinweisStandardmäßig wird in OpenShift 4.5 und früher das
--read-only-port nicht verwendet. In OpenShift 4.6 und höher wird das kubelet-read-only-port auf 0 gesetzt. |
Auswirkung
Die Entfernung des schreibgeschützten Ports erfordert, dass jeder Dienst, der ihn
genutzt hat, neu konfiguriert werden muss, um die Haupt-Kubelet-API zu verwenden.
Prüfung
In OpenShift 4 wird der Kubelet vom Machine Config Operator verwaltet. Die Kubelet-Konfigurationsdatei
befindet sich unter
/etc/kubernetes/kubelet.conf. OpenShift deaktiviert den schreibgeschützten Port (10255) auf allen Knoten, indem
das Kubelet-Flag read-only-port standardmäßig in OpenShift 4.6 und höher auf 0 gesetzt wird.Führen Sie den folgenden Befehl aus, um zu überprüfen, ob
kubelet-read-only-port für die Konfigurationskarte des Kubernetes-API-Servers auf 0 gesetzt ist.oc -n openshift-kube-apiserver get cm config -o json | jq -r '.data."config.yaml"' | yq '.apiServerArguments."kubelet-read-only-port"'
Überprüfen Sie, ob die Ausgabe eine Liste ist, die 0 enthält, wie folgt:
[ "0" ]
Wiederherstellung
In früheren Versionen von OpenShift 4 wird das Argument
read-only-port nicht verwendet. Befolgen Sie die Anweisungen in der OpenShift-Dokumentation, um ein kubeletconfig-CRD zu erstellen und den kubelet-read-only-port auf 0 zu setzen.