k8s学习

目录题目环境搭建解题任务一确保只有认证并且授权过的 REST 请求才被允许任务二删除题目要求的角色绑定模拟题参考

题目 Context由 kubeadm 创建的 cluster 的 Kubernetes API 服务器，出于测试目的，临时配置允许未经身份验证和未经授权的访问，授予匿名用户 cluster-admin 的访问权限.Task重新配置 cluster 的 Kubernetes API 服务器，以确保只允许经过身份验证和授权的 REST 请求。使用授权模式 Node,RBAC 和准入控制器 NodeRestriction。删除用户 system:anonymous 的 ClusterRoleBinding 来进行清理。注意：所有 kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。你不必更改它，但请注意，一旦完成 cluster 的安全加固， kubectl 的配置将无法工作。您可以使用位于 cluster 的 master 节点上，cluster 原本的 kubectl 配置文件/etc/kubernetes/admin.conf ，以确保经过身份验证的授权的请求仍然被允许。环境搭建

创建一个名为system:anonymous的clusterrolebinding 命令

kubectl create clusterrolebinding system:anonymous --clusterrole=admin --serviceaccount=default:default

截图在这里插入图片描述 ps：考试环境应该是已有--user=system:anonymous的clusterrolebinding

修改kube-apiserver.yaml文件命令

vim /etc/kubernetes/manifests/kube-apiserver.yaml

启动项

- --authorization-mode=AlwaysAllow- --enable-admission-plugins=AlwaysAdmit

截图在这里插入图片描述

解题任务一确保只有认证并且授权过的 REST 请求才被允许 vim /etc/kubernetes/manifests/kube-apiserver.yaml

修改为如下内容

- --authorization-mode=Node,RBAC #注意，只保留 Node,RBAC 这两个。在 1.25+考试中，这一条可能默认已经有了，但还是要检查确认一下。- --enable-admission-plugins=NodeRestriction #在1.25+考试中，这一个原先为 AlwaysAdmit，需要修改为 NodeRestriction。

在这里插入图片描述

重启kubelet

systemctl daemon-reloadsystemctl restart kubelet 任务二删除题目要求的角色绑定

查询用户system:anonymous的clusterrilebinding 命令

kubectl get clusterrolebinding -o yaml | grep system:anonymous

删除命令

kubectl delete clusterrolebinding system:anonymous

截图在这里插入图片描述

模拟题

在这里插入图片描述

参考

k8s-apiserver

云奕文章网

k8s学习

相关推荐：