kubelet容器监控只读端口风险提示
概述
本文档介绍百度智能云 CCE 容器服务集群默认不开放 kubelet 容器监控只读端口(10255)的原因,以及在充分评估风险后,如何按需通过控制台手动开启 kubelet 只读端口(10255)。
前提条件
- 已登录 百度智能云官网,并进入容器引擎 CCE 管理控制台。
- 已创建目标 CCE 集群,并具备集群及节点相关操作权限。
- 若使用节点组方式配置,目标集群中已存在可配置的节点组。
风险申明
由于社区版 Kubernetes 的只读容器监控透出存在信息泄露风险,百度智能云 CCE 容器服务集群不默认开放 kubelet 容器监控只读端口(10255)。
在被攻破集群节点后,社区版 Kubernetes 默认开放的 kubelet 容器监控只读端口(10255)可能会被获取部分应用信息,存在信息泄露风险。因此,百度智能云 CCE 容器服务集群不默认开放 kubelet 容器监控只读端口(10255)。
若您正在使用或计划依赖 kubelet 只读端口(10255),请充分了解并知悉数据安全风险。了解后,再按需通过 kubelet 参数手动开启只读端口(10255)。
手动开启 kubelet 只读端口(10255)
若您正在使用或计划依赖 kubelet 只读端口(10255),请充分了解并知悉数据安全风险。了解后,再按需通过 kubelet 参数手动开启只读端口(10255)。
注意: 开启 kubelet 只读端口(10255)后,可能带来信息泄露风险。请在充分评估安全影响后按需操作。
方式一:添加节点开启 kubelet 只读端口
导航路径:容器引擎 CCE->集群管理->集群列表->目标集群->节点管理->节点
步骤 1:进入目标集群管理页面
在 CCE 控制台的 集群列表 页面,单击目标集群名称,进入集群管理页面。
步骤 2:进入节点列表
在集群管理页面,选择 【节点管理】 > 【节点】,进入节点列表页面。
步骤 3:打开添加节点并定位高级设置
在 节点 页面单击 【添加节点】,进入扩容集群页面。展开 高级设置(节点),准备配置自定义 kubelet 参数。
步骤 4:设置自定义 kubelet 参数
在 高级设置(节点) 的 自定义 kubelet 参数 区域单击 【添加参数】,并按下表完成配置。
| 参数 | 必填 | 说明 |
|---|---|---|
| 参数名 | 是 | 选择 readOnlyPort。 |
| 参数值 | 是 | 填写 10255,用于开启 kubelet 只读端口。 |
步骤 5:提交节点扩容配置
确认自定义 kubelet 参数配置无误后,单击 【确定】,提交节点扩容配置。提交后系统返回节点列表,新节点进入 创建中 状态,表示扩容请求已提交。
方式二:通过节点组配置开启 kubelet 只读端口
导航路径:容器引擎 CCE->集群管理->集群列表->目标集群->节点管理->节点组
步骤 1:进入目标集群管理页面
在 CCE 控制台的 集群列表 页面,单击目标集群名称,进入集群管理页面。
步骤 2:进入节点组列表
在集群管理页面,选择 【节点管理】 > 【节点组】,进入节点组列表页面。
步骤 3:配置 kubelet 参数
在节点组列表中,选择目标节点组,单击 【更多】 > 【配置 kubelet】,进入 配置 Kubelet 参数 页面。然后单击 【添加参数】,并按下表完成配置。
| 参数 | 必填 | 说明 |
|---|---|---|
| 参数名 | 是 | 选择 readOnlyPort。 |
| 参数值 | 是 | 填写 10255,用于开启 kubelet 只读端口。 |
评价此篇文章