設定檔適用性:等級 1 - 主節點
請勿使用基於令牌的驗證。
基於令牌的驗證使用靜態令牌來驗證對 apiserver 的請求。這些令牌以明文形式存儲在 apiserver 的文件中,且在不重新啟動 apiserver 的情況下無法撤銷或更換。因此,請勿使用靜態令牌驗證。
 |
注意預設情況下,
--token-auth-file 參數未設置。 |
影響
您將需要配置和使用替代驗證機制,例如證書。無法使用基於靜態令牌的驗證。
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--token-auth-file 參數不存在。替代稽核方法
kubectl get pod -nkube-system -lcomponent=kube-apiserver -o=jsonpath='{range
.items[]}{.spec.containers[].command} {"\n"}{end}' | grep '--token-auth-file' | grep -i false
如果退出代碼為1,則控制項不存在/失敗。
補救措施
按照文件進行操作,配置替代的驗證機制。然後,在主節點上編輯 API 伺服器 pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並移除 --token-auth-file=<filename> 參數。