設定檔適用性:等級 1 - 主節點
不要總是授權所有請求。
API 伺服器可以配置為允許所有請求。此模式不應在任何生產集群上使用。
 |
注意預設情況下,
AlwaysAllow 未啟動。 |
影響
只有授權請求才會被處理。
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--authorization-mode 參數是否存在且未設置為 AlwaysAllow。補救措施
編輯控制平面節點上的 API 伺服器 pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並將 --authorization-mode 參數設置為 AlwaysAllow 以外的值。範例如下:--authorization-mode=RBAC