【K8S认证】2023年CKS考题-TLS安全配置（解析+答案）_cks证书模拟考试

题目

k8s集群TLS安全配置

Task
通过TLS加强kube-apiserver安全配置，要求kube-apiserver除了 TLS 1.3 及以上的版本可以使用，其他版本都不允许使用。
密码套件（Cipher suite）为 TLS_AES_128_GCM_SHA256通过TLS加强ETCD安全配置，要求密码套件（Cipher suite）为TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

参考

https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/

解答

1、切换集群

kubectl config user-context KSRS00501
1

2、切换到master

ssh master01
sudo -i
1
2

3、修改配置文件
备份、修改 kube-apiserver

mkdir bakyaml
cp /etc/kubernetes/manifests/kube-apiserver.yaml bakyaml/
vim /etc/kubernetes/manifests/kube-apiserver.yaml
1
2
3

添加或修改相关内容，并保存(先检查一下，如果考试环境里已经给你这两条了，则你只需要修改即可)

    - --tls-cipher-suites=TLS_AES_128_GCM_SHA256
    - --tls-min-version=VersionTLS13
1
2

等待几分钟，等集群应用策略后，再检查kube-apiserver，确保Running。

kubectl -n kube-system get pod
1

4、修改 ETCD

cp /etc/kubernetes/manifests/etcd.yaml bakyaml/
vim /etc/kubernetes/manifests/etcd.yaml
1
2

添加或修改相关内容，并保存

    - --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
1

修改完成后，需要等待几分钟，等集群应用策略后，再检查一下所有pod，特别是etcd和kube-apiserver两个pod，确保模拟环境是正常的。

kubectl get pod -A
kubectl -n kube-system get pod
1
2