任務
重新配置 cluster 的Kubernetes APl 服務器,以確保只允許經過身份驗證和授權的 REST 請求。
使用授權模式 Node,RBAC 和准入控制器NodeRestriction。
刪除用戶 system:anonymous 的 ClusterRoleBinding 來進行清理。
注意:所有 kubectl 配置環境/文件也被配置使用未經身份驗證和未經授權的訪問。 你不必更改它,但請注意,一旦完成 cluster的安全加固, kubectl 的配置將無法工作。 您可以使用位於 cluster 的 master 節點上,cluster 原本的kubectl 配置文件 /etc/kubernetes/admin.conf ,以確保經過身份驗證的授權的請求仍然被允許。
解題
- 備份並修改kube-apiserver配置
# 備份
mkdir -p /opt/backup/15
cp -f /etc/kubernetes/manifests/kube-apiserver.yaml /opt/backup/15
- --authorization-mode=Node,RBAC
- --enable-admission-plugins=NodeRestriction #添加准入控制器
- 重啓kubelet
systemctl daemon-reload
systemctl restart kubelet
- 刪除刪除用戶 system:anonymous 的 ClusterRoleBinding
kubectl delete rolebinding system:anonymous
參考
https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/node/#overview