設定檔適用性:等級 1
請勿允許所有請求。啟用明確授權。
Kubelets 預設允許所有已驗證的請求(即使是匿名的)而不需要 API 伺服器的明確授權檢查。您應該限制此行為,僅允許明確授權的請求。
 |
注意預設情況下,OpenShift 使用
Webhook 授權。 |
影響
未經授權的請求將被拒絕。
稽核
在 OpenShift 4 中,Kubernetes 配置檔由機器配置運算子管理。預設情況下,OpenShift 會拒絕未經身份驗證和未授權的使用者。
您可以使用以下命令驗證叢集中的每個節點是否已配置為僅接受經過身份驗證的使用者:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authorization.mode'
done
確認沒有節點返回
AlwaysAllow作為授權模式。