3. kube-bench CIS 基准测试问题Context针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时发现了多个必须立即解决的问题。Task通过配置修复所有问题并重新启动受影响的组件以确保新设置生效。修复针对 API服务器发现的所有以下违规行为:新版考试这个可能已经删除了这个题目这里我就不更新了怕误导大家下面答案中有相关实例大家可以参考一下:::info尽可能使用 Webhook 身份验证/授:::修复针对 etcd 发现的所有以下违规行为:正确答案注注注大意了啊这个模拟环境中没有这几个字段1、如果有–insecure-bind-address 这个字段答如果写了not set 不需要设置了那么你就直接删除即可不要去做修改哈谢谢2、–insecure-port参数设置为0答这个你就去题目中找到这个字段改为0就行。如果没有这个字段那么你就添加上修复针对 API服务器发现的所有以下违规行为:注意在修改已有文件前必须备份该文件防止修改有问题。需要备份到/tmp下别直接备份到相同路径下防止有问题。roothk8s-master01:~# cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/做下一题之前确保所有的 pod 都是 Running特别是 kube-apiserver-master01 也正常。考试时也要确保这个 apiserver 是正常的roothk8s-master01:~# cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/roothk8s-master01:~# vim /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/apiVersion: v1 kind: Pod metadata: labels: component: kube-apiserver tier: control-plane name: kube-apiserver namespace: kube-system spec: containers: - command: - kube-apiserver - --authorization-modeNode,RBAC##把AlwaysAllow改为Node和RBAC修复针对 Kubelet 发现的所有以下违规行为注意在修改文件之前一定要先备份备份备份。不要忘。。。千万不要在/etc/kubernetes/下备份可能会导致异常可以备份到/tmp 目录下。如果你找不到这个kubelet的配置文件你千万记住这个路径会告诉你这个文件的路径cat /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 中你也会看到 Environment“KUBELET_CONFIG_ARGS–config/var/lib/kubelet/config.yaml”。注大意了啊master和node都需要改kubelet的配置#注意webhook:cacheTTL: 0senabled: true这个字段可能默认没有需要自己添加考试的时候自己注意下roothk8s-master01:~# cp /var/lib/kubelet/config.yaml /tmproothk8s-master01:~# cd /var/lib/kubelet/roothk8s-master01:/var/lib/kubelet# vim config.yamlapiVersion: kubelet.config.k8s.io/v1beta1 authentication: anonymous:#修改 anonymous 下的将 true 改为 falseenabled:true#将 true 改为 falsewebhook: cacheTTL: 0s enabled:true#注意尽可能使用 Webhook 身份验证/授权。如果这里是false那你一定要修改为true否则和题目不对应了x509: clientCAFile: /etc/kubernetes/pki/ca.crt authorization:#修改 authorization 下的mode: Webhook#改为 Webhookwebhook:修复针对 etcd 发现的所有以下违规行为roothk8s-master01:~# cp /etc/kubernetes/manifests/etcd.yaml /tmproothk8s-master01:~# vim /etc/kubernetes/manifests/etcd.yaml1apiVersion: v12kind: Pod3metadata:7labels:8component: etcd9tier: control-plane10name: etcd11namespace: kube-system12spec:13containers:14- command:15- etcd18- --client-cert-authtrue#修改为 true编辑完后重新加载配置文件并重启 kubeletsystemctl daemon-reloadsystemctl restart kubelet查看状态上面这个结果是不行的必须等到下面查询结果出来之后才可以然后ssh 到从节点, 修改kubelet, 修改⽅法⼀样这一步骤待定不确定是否需要修改vim /var/lib/kubelet/config.yamlsystemctl daemon-reloadsystemctl restart kubelet