設定檔適用性:等級 1 - 主節點
請勿使用自動生成的自簽名證書進行對等之間的 TLS 連接。
etcd 是一個高可用的鍵值存儲,由 Kubernetes 部署用於持久存儲其所有的 REST API 對象。這些對象性質敏感,應僅由 etcd 集群中的已驗證 etcd
同儕訪問。因此,不要使用自簽名證書進行驗證。
 |
注意此建議僅適用於 etcd 叢集。如果您在環境中僅使用一個 etcd 伺服器,則此建議不適用。
|
|
注意預設情況下,
--peer-auto-tls 參數設置為 false。 |
影響
所有嘗試與 etcd 伺服器通信的對等方都需要有效的用戶端憑證進行驗證。
審計
在 etcd 伺服器節點上執行以下命令:
ps -ef | grep etcd
驗證是否存在
--peer-auto-tls 參數,且未設置為 true。補救措施
編輯主節點上的 etcd pod 規範檔案
/etc/kubernetes/manifests/etcd.yaml,並移除 --peer-auto-tls 參數或將其設置為 false。--peer-auto-tls=false