img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

4.2.1 Ensure that the anonymous-auth argument is set to false FAIL
4.2.2 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL
注意:尽可能使用 Webhook 身份验证/授权。

修复针对 etcd 发现的所有以下违规行为:
Fix all of the following violations that were found against etcd:
2.2 Ensure that the --client-cert-auth argument is set to true FAIL

    • -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。 逗号分隔的列表:AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node。 默认值:“AlwaysAllow”
    • -authorization-mode stringkubelet 服务器的鉴权模式。可选值包括:AlwaysAllow、Webhook。Webhook 模式使用 SubjectAccessReview API 鉴权。 当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。

环境搭建

apiserver部分
命令

vim /etc/kubernetes/manifests/kube-apiserver.yaml

截图
在这里插入图片描述
命令

vim /var/lib/kubelet/config.yaml

截图
在这里插入图片描述

命令

vim /etc/kubernetes/manifests/etcd.yaml

截图
在这里插入图片描述
之后按照参考的链接,根据集群所在系统类型安装即可

kube-bench 

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

解题

解题很简单,按照要求改就行。

命令

vim /var/lib/kubelet/config.yaml

anonymous的enabled改为true
authorization改为Webhook
截图
在这里插入图片描述
命令

vim /etc/kubernetes/manifests/etcd.yaml

–client-cert-auth改为true
截图
在这里插入图片描述
命令

vim /etc/kubernetes/manifests/kube-apiserver.yaml

–authorization-mode改为Node,RBAC
截图
在这里插入图片描述
最后,重启一下kubelet

systemctl daemon-reload
systemctl restart kubelet

模拟题

在这里插入图片描述
在这里插入图片描述

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

dn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

Logo

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐