設定檔適用性:等級 1
關閉對 Kubelet 伺服器的匿名請求。
當已啟動時,未被其他已配置驗證方法拒絕的請求將被視為匿名請求。這些請求隨後由 Kubelet 伺服器處理。您應依賴驗證來授權訪問並禁止匿名請求。
 |
注意預設情況下,匿名訪問設定為
false。 |
影響
匿名請求將被拒絕。
稽核
在 OpenShift 4 中,Kubernetes 配置檔由機器配置運算元管理,
anonymous-auth 預設設置為 false。在每個節點上執行以下命令以配置匿名驗證:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authentication.anonymous.enabled'
done
驗證每個節點的配置是否返回
false。補救
建立一個
kubeletconfig以明確關閉匿名驗證。如何執行此操作的範例可以在OpenShift 文件中找到。