CKS2021最新练习题解析02--修复kube-bench报告中异常项
本题是 2021年六七月份的 zhenti, 由于考点基本一致(大多只是调整参数而已),笔者将其再做了一遍,提供一份参考方法给有需要的小伙伴。
知识点概述
- 配置 api-server 参数
确保 --authorization-mode 非 AlwaysAllow
确保 --authorization-mode 包括 Node
确保 --authorization-mode 包括 RBAC - 配置 kubelet 参数
确保 --anonymous-auth 设置为 false
确保 --authorization-mode 非 AlwaysAllow
Use webhook authn/authz where possible - 配置 etcd 参数
确保 --client-cert-auth FAIL 设置为 true
解析&参考方法
解析
- 在 /etc/kubernetes/manifests/kube-apiserver.yaml 中修改api-server 的参数
- 在 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 中修改kubelet 的参数
- 在 /etc/kubernetes/manifests/etcd.yaml 中修改etcd 的参数
参考方法
ssh 到master节点
# 配置 api-server 参数
vim /etc/kubernetes/manifests/kube-apiserver.yaml
按需调整authorization-mode 参数
- --authorization-mode=Node,RBAC
# 配置 kubelet 参数
vim /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
在 ExecStart 后面追加如下参数
--anonymous-auth=false --authorization-mode=Webhook
#编辑完后重启kubelet
systemctl daemon-reload
systemctl restart kubelet
# 配置 etcd 参数
vim /etc/kubernetes/manifests/etcd.yaml
按需调整 client-cert-auth 参数
--client-cert-auth=true
退出master节点
注意:
调整 kubelet 参数后需要重启,否则无法生效;
api-server 和 etcd 修改yaml后会自动重启pod;
说明
软件环境:
系统为 Ubuntu18.04
当前考试版本 1.22
测试环境为 k8s 1.22.1 + Calico
参考文档:
Kubernetes CKS 1.20
github.com/aquasecurity/kube-bench
Kubernetes Documentation/Reference/Component tools/kube-apiserver
Kubernetes Documentation/Reference/Component tools/kubelet
Kubernetes Documentation/Tasks/Administer a Cluster/Operating etcd clusters for Kubernetes
注意!!!
- 根据笔者练习经验,15个练习题的知识点基本没变,只是改变了顺序和部分参数而已
- 知识点可靠,方法为笔者给出的参考方法,若有更优解,欢迎在 交流群或留言区 讨论交流
- 更多详细备考和复习攻略请参考笔者博文 CKS认证–CKS 2021最新真题考试经验分享–练习题04 和 CKS认证–CKS 2021最新真题–练习题03
- 可通过cka认证–cka认证2021最新备考大全 ->5 资源课程->k8s 认证&云原生交流群 加入交流群,欢迎大家加入一起学习、成长!