Task
通过 TLS 加强 kube-apiserver 安全配置,要求
- kube-apiserver 除了 VersionTLS13 及以上的版本可以使用,其他版本都不允许使用。
- 密码套件(Cipher suite)为TLS_AES_128_GCMSHA256
通过 TLS 加强 ETCD 安全配置,要求
- 密码套件(Cipher suite)为 TLS_ETCDHD_RSA_WITH_AES_128_GCM_SHA256
参考资料
https://kubernetes.io/zh-cn/docs/tasks/tls/managing-tls-in-a-cluster/
解答
- 切换到master
ssh master01 && sudo -i
- 修改 kube-apiserver
修改之前备份下
mkdir bak17 cp /etc/kubernetes/manifests/kube-apiserver.yaml bak17/ vim /etc/kubernetes/manifests/kube-apiserver.yaml
添加或修改相关内容(如果考试时有了,修改即可)
- --tls-cipher-suites=TLS_AES_128_GCM_SHA256
- --tls-min-version=VersionTLS13
等大概3分钟,等集群应用策略后,再检查kube-apiserver
- 修改 etcd
修改之前,备份配置文件
cp /etc/kubernetes/manifests/etcd.yaml bak17/
vim /etc/kubernetes/manifests/etcd.yaml
添加或修改项目内容
- --cipher-suites=TLS_ETCDHD_RSA_WITH_AES_128_GCM_SHA256
修改完成后,需要等3分钟,等集群应用策略后,检查etcd和kube-apiserver