設定檔適用性:等級 1 - 主節點
etcd 應配置為使用 TLS 加密來進行客戶端連接。
etcd 是一個高可用的鍵值存儲,用於 Kubernetes 部署中持久存儲其所有 REST API 對象。這些對象具有敏感性,應透過用戶端驗證來保護。這需要 API
伺服器使用用戶端憑證和金鑰向 etcd 伺服器進行身份識別。
 |
注意預設情況下,
--etcd-certfile 和 --etcd-keyfile 參數未設定。 |
影響
必須為 etcd 配置 TLS 和用戶端憑證驗證。
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--etcd-certfile 和 --etcd-keyfile 參數是否存在,並確認它們已正確設定。補救
按照 Kubernetes 文件的指引,設置 apiserver 和 etcd 之間的 TLS 連接。然後,在主節點上編輯 API 伺服器 pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並設置 etcd 憑證和金鑰檔案參數。--etcd-certfile=<path/to/client-certificate-file> --etcd-keyfile=<path/to/client-key-file>