>我已经通过私有子网上的不安全端口启用了 API 服务器,并使用以下标志
- --insecure-port=8080
- --insecure-bind-address=0.0.0.0
因此,它绕过了身份验证和授权模块。这在 https://kubernetes.io/docs/reference/access-authn-authz/controlling-access/中有很好的记录
我试图添加标志--anonymous-auth=false无法解决目的
这是 API 命令的完整列表
- kube-apiserver
- --advertise-address=192.0.3.6
- --allow-privileged=true
- --authorization-mode=Node,RBAC
- --anonymous-auth=false
- --client-ca-file=/etc/kubernetes/pki/ca.crt
- --enable-admission-plugins=NodeRestriction
- --enable-bootstrap-token-auth=true
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
- --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
- --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
- --etcd-servers=https://127.0.0.1:2379
- --insecure-port=8080
- --insecure-bind-address=0.0.0.0
- --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
- --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
- --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
- --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
- --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
- --requestheader-allowed-names=front-proxy-client
- --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
- --requestheader-extra-headers-prefix=X-Remote-Extra-
- --requestheader-group-headers=X-Remote-Group
- --requestheader-username-headers=X-Remote-User
- --secure-port=6443
- --service-account-key-file=/etc/kubernetes/pki/sa.pub
- --service-cluster-ip-range=10.96.0.0/12
- --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
- --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
根据安全性,我知道不安全不应该用于通信,这是完全隔离的网络,我正在尝试通过不安全的端口启用身份验证和授权模块
默认情况下,insercure 端口将绕过身份验证和授权模块,因为它的主要任务是 bosstrap 和测试服务器,而不是实际充当主端口。
可以在安全端口中启用身份验证和授权模块。
总结,您要保护的端口并不意味着启用这些模块。