設定檔適用性:級別 1
關閉唯讀端口。
Kubelet 程序除了主要的 Kubelet API 外,還提供了一個唯讀 API。此唯讀 API 提供未經身份驗證的訪問,可能會檢索到有關叢集的潛在敏感信息。
 |
注意請參閱 GKE 文件以了解預設值。
|
影響
刪除唯讀端口將需要重新配置任何使用該端口的服務以使用主要的 Kubelet API。
稽核
如果使用 Kubelet 配置檔案,請檢查是否有
authentication: anonymous: enabled 的項目設置為 0。- 首先,SSH 到相關節點。
- 在每個節點上執行以下命令以找到適當的 Kubelet 配置文件:
ps -ef | grep kubelet
- 上述命令的輸出應返回類似於
--config /etc/kubernetes/kubelet/kubelet-config.json的內容,這是 Kubelet 配置檔案的位置信息。 - 開啟 Kubelet 配置檔:
cat /etc/kubernetes/kubelet/kubelet-config.json
- 驗證
--read-only-port參數是否存在並設為0。如果沒有--read-only-port參數,請檢查是否有由--config指定的Kubelet配置檔。 - 檢查檔案中是否有
readOnlyPort項目,並確認其設定為0。
補救
如果要修改 Kubelet 配置檔案,請編輯 kubelet-config.json 檔案
/etc/kubernetes/kubelet/kubelet-config.json 並將以下參數設為 0:"readOnlyPort": 0
如果使用可執行參數,請在每個工作節點上編輯 kubelet 服務檔案
/etc/systemd/system/kubelet.service.d/10-kubelet-args.conf,並在 KUBELET_ARGS 變數字串的末尾添加以下參數:--read-only-port=0
對於每個修復:
根據您的系統,重新啟動
kubelet服務並檢查狀態:systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l