限制对Kubernetes API的访问
翻译
原文:https://devopscube.com/cks-exam-guide-tips/#restrict-access-to-kubernetes-api
- name: 翻译
desc: 原文:https://devopscube.com/cks-exam-guide-tips/#restrict-access-to-kubernetes-api
bgColor: '#F0DFB1'
textColor: 'green'
1
2
3
4
2
3
4
# 限制对Kubernetes API的访问
在 Kubernetes 生产环境方面,限制对 API 的访问非常重要。第三方服务 和 在集群内运行的服务,应该仅使用所需的权限访问 Kubernetes API。
本节的主要主题是引导令牌、RBAC、ABAC、服务帐户和准入 webhooks。
译者加
在配置文件/etc/kubernetes/manifests/kube-apiserver.yaml
中添加以下参数来控制 Webhooks:
--enable-admission-plugins=
:设置要启用的 Webhooks 准入插件,格式为<控制插件1>,<控制插件2>,......
--disable-admission-plugins=
:设置要禁用的 Webhooks 准入插件,格式同上--admission-control-config-file=
:设置具体的准入控制配置文件,可以为 YAML 或 JSON 格式
译者加
一些检查 kube-apiserver 错误信息的方法。
1、系统日志目录:
ls /var/log/pods/
ls /var/log/containers/
1
2
3
2
3
2、容器运行时工具:
crictl ps
crictl logs <容器ID>
# 如果有使用docker的话
docker ps
docker logs <容器ID>
1
2
3
4
5
6
7
2
3
4
5
6
7
3、服务日志:
tail -f /var/log/syslog | grep apiserver
journalctl -fn | grep apiserver
1
2
3
2
3
编辑 (opens new window)