設定檔適用性:等級 1
關閉對 Kubelet 伺服器的匿名請求。
當已啟動時,未被其他已配置的驗證方法拒絕的請求將被視為匿名請求。這些請求將由 Kubelet 伺服器處理。您應依賴驗證來授權訪問並禁止匿名請求。
 |
注意預設情況下,匿名訪問設置為
false。 |
影響
匿名請求將被拒絕。
稽核
在 OpenShift 4 中,Kubernetes 配置檔由 Machine Config Operator 管理,且
anonymous-auth 預設設為 false。在每個節點上運行以下命令以配置匿名驗證:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authentication.anonymous.enabled'
done
驗證每個節點的配置返回
false。補救措施
創建一個
kubeletconfig來明確關閉匿名驗證。如何執行此操作的示例可以在OpenShift 文檔中找到。