Context
由 kubeadm 创建的cluster 的kubernetes API 服务器,出于测试目的,
临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限。
Task
重新配置cluster的Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST请求。
使用授权模式 Node,RBAC 和准入控制器 NodeRestriction。
删除用户 system:anonymous 的 ClusterRoleBinding来进行清理。
注意:所有kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。
你不必更改它,但请注意,一旦完成 cluster 的安全加固, kubectl 的配置将无法工作。
您可以使用位于 cluster 的 master 节点上,cluster 原本的 kubectl 配置文件
/etc/kubernetes/admin.conf ,以确保经过身份验证的授权的请求仍然被允许。
参考资料
https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/
解答
切换集群
kubectl config usr-contextKSSH00401
- 切换到master
ssh master && sudo -i
- 确保只有认证并且授权过的 REST 请求才被允许
编辑 /etc/kubernetes/manifests/kube-apiserver.yaml 修改下面内容 - --authorization-mode=AlwaysAllow - --enable-admission-plugins=AlwaysAdmit vim /etc/kubernetes/manifests/kube-apiserver.yaml 修改为 - -- authorization-mode=Node,RBAC - --enable-admission-plugins=NodeRestriction
重启kubelet
systemctl daemon-reload
systemctl restart kubelet
修改完后,等待3分钟,查看集群是否正常
- 删除题目要求的角色绑定
查 kubectl get clusterrolebinding system:anonymous 删 kubectl delete clusterrolebinding system:anonymou