对应b站视频:CKS题目-TLS安全配置
题目
Task 通过 TLS 加强 kube-apiserver 安全配置,要求 1、kube-apiserver 除了 VersionTLS13 及以上的版本可以使用,其他版本都不允许使用。 2、密码套件(Cipher suite)为 TLS_AES_128_GCM_SHA256 通过 TLS 加强 ETCD 安全配置,要求 1、密码套件(Cipher suite)为 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
解题
加强kube-apiserver 安全配置
修改配置文件
命令
vim /etc/kubernetes/manifests/kube-apiserver.yaml
添加以下启动项
- --tls-min-version=VersionTLS13 - --tls-cipher-suites=TLS_AES_128_GCM_SHA256
截图
加强 ETCD 安全配置
命令
vim /etc/kubernetes/manifests/etcd.yaml
添加以下启动项
--cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
截图
重启kubelet
命令
systemctl daemon-reload systemctl restart kubelet
重启etcd
systemctl restart etcd
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如
kubectl delete po etcd-controlplane -n kube-system
截图
参考
本专栏:k8s学习-CKS考试必过宝典
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记
