搜索 收起

汇总all

编辑

临时总结

您的位置 首页 linux 运维

2确保将唯一的证书颁发机构用于etcd可信验证

白眉大叔 白眉大叔 发布于 2025年9月5日 评论关闭 阅读(20)

 

确保将唯一的证书颁发机构用于etcd可信验证

 

描述

描述: 对etcd使用与Kubernetes所使用的证书颁发机构不同的证书颁发机构。

检查提示

--

加固建议

查看etcd环境使用的CA,并确保它与Kubernetes使用的CA证书不匹配。

在etcd服务器节点上运行以下命令:

ps -ef | grep etcd查看--trusted-ca-file参数引用的文件,并确保所引用的CA与用于管理整个Kubernetes集群的CA不同。

补救措施:

请遵循etcd文档,并为etcd服务创建专用的证书颁发机构设置,也可参考 https://www.yuque.com/opensource-books/kubernetes-handbook/practice-create-tls-and-secret-key

影响: 将需要对专用证书颁发机构的证书和密钥进行其他管理。

方案:

1.在主节点上编辑 etcd 配置文件

/etc/kubernetes/manifests/etcd.yaml

spec:
  containers:
  - command:
    - etcd
	- --trusted-ca-file=</path/to/ca-file>

2.重启k8s服务

systemctl daemon-reload && systemctl restart kubelet

欢迎来撩 : 汇总all

点赞(3)
白眉大叔

关于白眉大叔linux云计算: 白眉大叔

相关文章

热门文章

1nexus配置阿里云仓库(maven 配置nexus 私服)

点赞(503) 阅读(3,349)

2mysql 统计所有表的数据量

点赞(1.01K) 阅读(3,224)

34个9 5个9区别网站可用性衡量的标准 4个9

点赞(1.01K) 阅读(3,162)

4openvpn 安装

点赞(671) 阅读(3,087)

5

点赞(644) 阅读(3,030)