对应b站视频:CKS题目-TLS安全配置

题目

Task
通过 TLS 加强 kube-apiserver 安全配置,要求
1、kube-apiserver 除了 VersionTLS13 及以上的版本可以使用,其他版本都不允许使用。
2、密码套件(Cipher suite)为 TLS_AES_128_GCM_SHA256
通过 TLS 加强 ETCD 安全配置,要求
1、密码套件(Cipher suite)为 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

解题

加强kube-apiserver 安全配置

修改配置文件
命令

vim /etc/kubernetes/manifests/kube-apiserver.yaml

添加以下启动项

- --tls-min-version=VersionTLS13
- --tls-cipher-suites=TLS_AES_128_GCM_SHA256

截图
在这里插入图片描述

加强 ETCD 安全配置

命令

vim /etc/kubernetes/manifests/etcd.yaml

添加以下启动项

--cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

截图
在这里插入图片描述
重启kubelet
命令

systemctl daemon-reload
systemctl restart kubelet

重启etcd

systemctl restart etcd 

如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如

kubectl delete po etcd-controlplane -n kube-system

截图
在这里插入图片描述

参考

k8s-kube-apiserver
本专栏:k8s学习-CKS考试必过宝典
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记

Logo

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐