設定檔適用性:等級 1 - 主節點
不要將控制器管理器服務綁定到非回送的不安全地址。
控制器管理器 API 服務預設在 10252/TCP 埠上運行,用於健康狀況和指標信息,且無需驗證或加密。因此,它應僅綁定到本地主機介面,以最小化叢集的攻擊面。
 |
注意預設情況下,
--bind-address 參數設置為 0.0.0.0。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-controller-manager
驗證
--bind-address 參數是否設置為 127.0.0.1補救措施
編輯控制平面節點上的 Controller Manager pod 規範檔案
/etc/kubernetes/manifests/kube-controller-manager.yaml,並確保 --bind-address 參數的正確值。 |
注意儘管當前的 Kubernetes 文件網站表示
--address 已被棄用,建議使用 --bind-address,但 Kubeadm 1.11 仍然使用 --address。 |