設定檔適用性:級別 1
加密 etcd 鍵值儲存。
etcd 是一個高可用的鍵值儲存系統,Kubernetes 部署使用它來持久儲存所有的 REST API 物件。這些物件性質敏感,應在靜止時進行已加密,以避免任何洩露。
 |
注意預設情況下,
--encryption-provider-config 未設定。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--encryption-provider-config 參數是否設置為 EncryptionConfig 檔案。此外,確保 EncryptionConfig 檔案涵蓋所有所需的 resources,特別是任何機密資料。補救
按照 Kubernetes 文件配置 EncryptionConfig 檔案。然後,編輯主節點上的 API 伺服器 pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並將 --encryption-provider-config 參數設置為該檔案的路徑:--encryption-provider-config=</path/to/EncryptionConfig/File>