对应b站视频: CKS题目-启用ApiServer认证
题目
Context 由 kubeadm 创建的 cluster 的 Kubernetes API 服务器,出于测试目的, 临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限. Task 重新配置 cluster 的 Kubernetes API 服务器, 以确保只允许经过身份验证和授权的 REST 请求。 使用授权模式 Node,RBAC 和准入控制器 NodeRestriction。 删除用户 system:anonymous 的 ClusterRoleBinding 来进行清理。 注意:所有 kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。 你不必更改它,但请注意,一旦完成 cluster 的安全加固, kubectl 的配置将无法工作。 您可以使用位于 cluster 的 master 节点上,cluster 原本的 kubectl 配置文件 /etc/kubernetes/admin.conf ,以确保经过身份验证的授权的请求仍然被允许。
环境搭建
创建一个名为system:anonymous的clusterrolebinding
命令
kubectl create clusterrolebinding system:anonymous --clusterrole=admin --serviceaccount=default:default
截图
ps:考试环境应该是已有--user=system:anonymous的clusterrolebinding
修改kube-apiserver.yaml文件
命令
vim /etc/kubernetes/manifests/kube-apiserver.yaml
启动项
- --authorization-mode=AlwaysAllow - --enable-admission-plugins=AlwaysAdmit
截图
解题
任务一 确保只有认证并且授权过的 REST 请求才被允许
vim /etc/kubernetes/manifests/kube-apiserver.yaml
修改为如下内容
- --authorization-mode=Node,RBAC #注意,只保留 Node,RBAC 这两个。在 1.25+考试中,这一条可能默认已经有了,但还是要检查确认一下。 - --enable-admission-plugins=NodeRestriction #在1.25+考试中,这一个原先为 AlwaysAdmit,需要修改为 NodeRestriction。
重启kubelet
systemctl daemon-reload systemctl restart kubelet
任务二 删除题目要求的角色绑定
查询用户system:anonymous的clusterrilebinding
命令
kubectl get clusterrolebinding -o yaml | grep system:anonymous
删除
命令
kubectl delete clusterrolebinding system:anonymous
截图
模拟题
参考
本专栏:k8s学习-CKS考试必过宝典
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记
