設定檔適用性:等級 2 - 主節點
限制 kubelet 可以修改的
Node 和 Pod 對象。使用
NodeRestriction 插件可確保 kubelet 僅限於其可修改的 Node 和 Pod 物件。這樣的 kubelet 只允許修改其自己的 Node API 物件,並且只允許修改綁定到其節點的 Pod API 物件。 |
注意預設情況下,
NodeRestriction 未設置。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--enable-admission-plugins 參數是否設置為包含 NodeRestriction 的值。補救
按照 Kubernetes 文件,並在 kubelet 上配置
NodeRestriction 插件。然後,編輯主節點上的 API 伺服器 pod 規範文件 /etc/kubernetes/manifests/kube-apiserver.yaml,並將 --enable-admission-plugins 參數設置為包含 NodeRestriction 的值。--enable-admission-plugins=...,NodeRestriction,...