設定檔適用性:等級 1 - 工作節點
請勿將 kube-proxy 指標埠綁定到非回環地址。
kube-proxy 有兩個 API 提供服務資訊的存取,並可綁定至網路通訊埠。度量 API 服務包含端點 (
/metrics 和 /configz),揭露有關 kube-proxy 設定和操作的資訊。這些端點不應暴露於不受信任的網路,因為它們不支援加密或驗證來限制其提供的資料存取。 |
注意預設值為
127.0.0.1:10249。 |
影響
嘗試存取與 kube-proxy 相關的度量或配置資訊的第三方服務將需要存取節點的本地主機介面。
稽核
檢查提供給 kube Proxy 的啟動標誌。
ps -ef | grep -i kube-proxy
確保
--metrics-bind-address 參數未設定為 127.0.0.1 以外的值。從此命令的輸出中收集在 --config 參數中指定的 位置資訊。檢查儲存在該位置的任何檔案,並確保它未為 metricsBindAddress 指定 127.0.0.1 以外的值。補救
修改或移除任何將度量服務綁定到非本地主機地址的值。