Security Kubernetes集群的CIS基准问题
我正在主节点上运行CIS kube bench工具,并试图解决此错误Security Kubernetes集群的CIS基准问题,security,kubernetes,Security,Kubernetes,我正在主节点上运行CIS kube bench工具,并试图解决此错误 [FAIL] 1.2.6 Ensure that the --kubelet-certificate-authority argument is set as appropriate (Automated). 我知道我需要更新API服务器清单YAML文件,该标志指向正确的CA文件--kubelet证书颁发机构。但是,我不确定哪一个是kubelet的正确CA证书 以下是我在PKI目录中的文件:- apiserver-etcd
[FAIL] 1.2.6 Ensure that the --kubelet-certificate-authority argument is set as appropriate (Automated).
我知道我需要更新API服务器清单YAML文件,该标志指向正确的CA文件--kubelet证书颁发机构。但是,我不确定哪一个是kubelet的正确CA证书
以下是我在PKI目录中的文件:-
apiserver-etcd-client.crt
apiserver-etcd-client.key
apiserver-kubelet-client.crt
apiserver-kubelet-client.key
apiserver.crt
apiserver.key
ca.crt
ca.key
etcd
front-proxy-ca.crt
front-proxy-ca.key
front-proxy-client.crt
front-proxy-client.key
sa.key
sa.pub
3关于同一主题的非常相似的讨论。我不会提供给你们所有的步骤,因为它在文档和堆栈上的相关问题中写得很好。只有高层次的概述 你的行动:
- 遵循Kubernetes文档并设置
- 启用和
/etc/kubernetes/manifests/kube apiserver.yaml
,并将--kubelet certificate authority
参数设置为证书颁发机构证书文件的路径
来自@Matt
- 使用
为具有有效IP SAN的kubelet签署新证书/etc/kubernetes/ssl/ca.crt
- 设置
(有效ca)--kubelet证书颁发机构=/etc/kubernetes/ssl/ca.crt
- 在
(kubelet配置文件)中,设置/var/lib/kubelet/config.yaml
和tlsCertFile
指向新创建的kubelettlsPrivateKeyFile
和crt
文件键
/etc/kubernetes/ssl/ca.crt
默认情况下,在Kubernetes中有3个不同的父CA(Kubernetes CA、etcd CA、Kubernetes front proxy CA)。您正在寻找kubernetes ca,因为kubelet正在使用kubernetes ca,您可以检查。kubernetes ca默认路径为/etc/kubernetes/pki/ca.crt,但也可以使用以下命令通过kubelet configmap进行验证
kubectl get configmap -n kube-system $(kubectl get configmaps -n kube-system | grep kubelet | awk '{print $1}') -o yaml | grep -i clientca