設定檔適用性:等級 2 - 主節點
限制 kubelet 可以修改的
Node 和 Pod 物件。使用
NodeRestriction 外掛程式可確保 kubelet 僅限於其可修改的 Node 和 Pod 物件。這樣的 kubelet 只允許修改其自己的 Node API 物件,並且僅能修改綁定到其節點的 Pod API 物件。 |
注意預設情況下,
NodeRestriction 未設定。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
確認
--enable-admission-plugins 參數設定為包含 NodeRestriction 的值。補救
按照 Kubernetes 文件的指引,在 kubelets 上配置
NodeRestriction 插件。然後,在主節點上編輯 API 伺服器 pod 規範檔案 /etc/kubernetes/manifests/kube-apiserver.yaml,並將 --enable-admission-plugins 參數設置為包含 NodeRestriction 的值。--enable-admission-plugins=...,NodeRestriction,...