設定檔適用性:等級 1 - 工作節點
不要將 kube-proxy 指標埠綁定到非回送地址。
kube-proxy 有兩個 API 提供有關服務的資訊,並且可以綁定到網路通訊埠。度量 API 服務包括端點(
/metrics 和 /configz),這些端點會透露有關 kube-proxy 配置和操作的資訊。這些端點不應暴露於不受信任的網路,因為它們不支援加密或驗證來限制其提供的資料防護。 |
注意預設值為
127.0.0.1:10249。 |
影響
嘗試訪問與 kube-proxy 相關的度量或配置信息的第三方服務將需要訪問節點的本地主機接口。
稽核
檢查提供給 kube proxy 的啟動標誌。
ps -ef | grep -i kube-proxy
確保
--metrics-bind-address 參數未設定為 127.0.0.1 以外的值。從此命令的輸出中收集 --config 參數中指定的位置資訊。檢查儲存在該位置的任何檔案,並確保它未為 metricsBindAddress 指定 127.0.0.1 以外的值。補救措施
修改或移除將度量服務綁定到非本地主機地址的任何值。