設定檔適用性:等級 1
不要允許所有請求。啟用明確授權。
Kubelets 預設允許所有已驗證的請求(即使是匿名的)而不需要 API 伺服器的明確授權檢查。您應該限制此行為,並且只允許明確授權的請求。
 |
注意預設情況下,OpenShift 使用
Webhook 授權。 |
影響
未經授權的請求將被拒絕。
稽核
在 OpenShift 4 中,Kubernetes 配置檔由機器配置運算元管理。預設情況下,OpenShift 會拒絕未經身份驗證和未經授權的使用者。
您可以使用以下命令驗證叢集中的每個節點是否配置為僅接受已驗證的使用者:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authorization.mode'
done
驗證沒有節點返回
AlwaysAllow作為授權模式。