設定檔適用性:等級 1 - 主節點
請勿將控制器管理器服務綁定到非回環的不安全地址。
控制器管理器 API 服務預設執行於 10252/TCP 埠,用於健康狀態和指標資訊,且不需驗證或加密。因此,應僅綁定至本地主機介面,以減少叢集的攻擊面。
 |
注意預設情況下,
--bind-address 參數設置為 0.0.0.0。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-controller-manager
驗證
--bind-address 參數是否設置為 127.0.0.1補救
編輯控制平面節點上的 Controller Manager pod 規範檔案
/etc/kubernetes/manifests/kube-controller-manager.yaml,並確保 --bind-address 參數的正確值。 |
注意儘管目前的 Kubernetes 文件網站表示
--address 已被棄用,並推薦使用 --bind-address,但 Kubeadm 1.11 仍然使用 --address。 |