設定檔適用性:等級 1 - 主節點
在 API 伺服器上設置 TLS 連接。
API 伺服器通訊包含應保持在傳輸過程中已加密的敏感參數。請配置 API 伺服器僅提供 HTTPS 流量。如果設置了
--client-ca-file 參數,則任何提交由 client-ca-file 中的授權機構之一簽署的用戶端憑證的請求,將根據用戶端憑證的 CommonName 進行身份驗證。 |
注意預設情況下,
--client-ca-file 參數未設置。 |
影響
必須為您的 Kubernetes 叢集部署配置 TLS 和用戶端憑證驗證。
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--client-ca-file 參數是否存在並且設置正確。補救措施
按照 Kubernetes 文件設定 apiserver 上的 TLS 連線。然後,編輯主節點上的 API 伺服器 pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並設置用戶端憑證授權檔案。--client-ca-file=<path/to/client-ca-file>