Profilanwendbarkeit: Stufe 1
Deaktivieren Sie den schreibgeschützten Port.
Der Kubelet-Prozess stellt zusätzlich zur Haupt-Kubelet-API eine schreibgeschützte
API bereit. Unauthentifizierter Zugriff wird auf diese schreibgeschützte API gewährt,
die möglicherweise potenziell sensible Informationen über das Cluster abrufen könnte.
 |
HinweisStandardmäßig wird in OpenShift 4.5 und früher der
--read-only-port nicht verwendet. In OpenShift 4.6 und höher ist der kubelet-read-only-port auf 0 gesetzt. |
Auswirkung
Das Entfernen des schreibgeschützten Ports erfordert, dass jeder Dienst, der ihn genutzt
hat, neu konfiguriert werden muss, um die Haupt-Kubelet-API zu verwenden.
Prüfung
In OpenShift 4 wird der Kubelet vom Machine Config Operator verwaltet. Die Kubelet-Konfigurationsdatei
befindet sich unter
/etc/kubernetes/kubelet.conf. OpenShift deaktiviert den Read-Only-Port (10255) auf allen Knoten, indem der read-only-port-Kubelet-Flag standardmäßig in OpenShift 4.6 und höher auf 0 gesetzt wird.Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der
kubelet-read-only-port auf 0 für die Kubernetes API-Server-Konfigurationskarte gesetzt ist.oc -n openshift-kube-apiserver get cm config -o json | jq -r '.data."config.yaml"' | yq '.apiServerArguments."kubelet-read-only-port"'
Überprüfen Sie, ob die Ausgabe eine Liste ist, die 0 enthält, wie folgt:
[ "0" ]
Wiederherstellung
In früheren Versionen von OpenShift 4 wird das Argument
read-only-port nicht verwendet. Befolgen Sie die Anweisungen in der OpenShift-Dokumentation, um ein kubeletconfig-CRD zu erstellen und den kubelet-read-only-port auf 0 zu setzen.