【K8S认证】2023年CKS考题-启用API server认证（解析+答案）_cks api server认证

题目

k8s启用API server认证

Context
由 kubeadm 创建的 cluster 的 Kubernetes API 服务器，出于测试目的，临时配置允许未经身份验证和未经授权的访问，授予匿名用户 cluster-admin 的访问权限。
Task
重新配置 cluster 的 Kubernetes APl 服务器，以确保只允许经过身份验证和授权的 REST 请求。
使用授权模式 Node , RBAC 和准入控制器 NodeRestriction 。
删除用户 system:anonymous 的 ClusterRoleBinding 来进行清理。
注意：所有 kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。
你不必更改它，但请注意，一旦完成 cluster 的安全加固， kubectl 的配置将无法工作。
您可以使用位于 cluster 的 master 节点上，cluster 原本的 kubectl 配置文件/etc/kubernetes/admin.conf ，以确保经过身份验证的授权的请求仍然被允许。

注：模拟环境里，初始化这道题的脚本为b.sh

参考

https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kube-apiserver/

解答

1、切换集群

kubectl config use-context KSCF00301
1

2、切换到master
远程到 master 并切换到 root

ssh master01
sudo -i
sh /root/b.sh #模拟这道题的环境
1
2
3

3、检查并修改配置文件
确保只有认证并且授权过的REST请求才被允许
/etc/kubernetes/manifests/kube-apiserver.yaml

- --authorization-mode=AlwaysAllow
- --enable-admission-plugins=AlwaysAdmit
1
2

修改为

- --authorization-mode=Node,RBAC 
#注意，只保留Node,RBAC这两个，中间是英文状态下的逗号。在1.25考试中，这一条可能默认已经有了，但还是要检查确认一下。
- --enable-admission-plugins=NodeRestriction 
#在1.25考试中，这一个原先为AlwaysAdmit，需要修改为NodeRestriction。
1
2
3
4

4、重启kubelet

systemctl daemon-reload
systemctl restart kubelet
kubectl get pod -A #过几分钟集群才会恢复正常
1
2
3

删除题目要求的角色绑定

kubectl get clusterrolebinding system:anonymous     #检查
kubectl delete clusterrolebinding system:anonymous  #删除
kubectl get clusterrolebinding system:anonymous     #检查
1
2
3

验证一下