任務
通過TLS加強kube-apiserver安全配置,要求
1、kube-apiserver除了VersionTLS13及以上的版本可以使用,其他版本都不允許使用。
2、密碼套件(Cipher suite)爲TLS_AES_128_GCM_SHA256
通過TLS加強ETCD安全配置,要求
1、密碼套件(Cipher suite)爲TLS_AES_128_GCM_SHA256
做題
- 備份相關配置文件
mkdir -p /opt/backup/14
cp -f /etc/kubernetes/manifests/kube-apiserver.yaml /opt/backup/14
cp -f /etc/kubernetes/manifests/etcd.yaml /opt/backup/14
- 修改配置文件
# kube-apiserver.yaml
spec:
containers:
- command:
- kube-apiserver
- --tls-min-version=VersionTLS13 #任務1
- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 #任務2
# etcd.yaml
containers:
- command:
- etcd
- --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 #任務3
- 重啓kubelet
systemctl daemon-reload
systemctl restart kubelet
- 檢查
kubectl get pods -A #觀察kube-apiserver和etcd是否重啓
參考
https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/