CKS真题 -- 启用API server认证
任务
重新配置 cluster 的Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST 请求。
使用授权模式 Node,RBAC 和准入控制器NodeRestriction。
删除用户 system:anonymous 的 ClusterRoleBinding 来进行清理。
注意:所有 kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。 你不必更改它,但请注意,一旦完成 cluster的安全加固, kubectl 的配置将无法工作。 您可以使用位于 cluster 的 master 节点上,cluster 原本的kubectl 配置文件 /etc/kubernetes/admin.conf ,以确保经过身份验证的授权的请求仍然被允许。
解题
- 备份并修改kube-apiserver配置
1
2
3备份
mkdir -p /opt/backup/15
cp -f /etc/kubernetes/manifests/kube-apiserver.yaml /opt/backup/15
1 | - --authorization-mode=Node,RBAC |
重启kubelet
1
2systemctl daemon-reload
systemctl restart kubelet删除删除用户 system:anonymous 的 ClusterRoleBinding
1
kubectl delete rolebinding system:anonymous
参考
https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/node/#overview
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Eryoung2的个人博客!
评论
ValineDisqus