更新时间:2023-11-22 GMT+08:00
权限管控
允许使用特权容器
是否允许在pod中配置使用特权容器
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
allow-privileged |
false:不允许 true:允许 |
true |
允许 |
CCE Standard/CCE Turbo |
是否允许在pod中配置使用特权容器
配置建议:
如用户出于安全原因,严格禁止使用特权容器,可以选择禁用
禁用特权容器会使已经配置了特权容器的业务无法正常下发,请排查确认集群所有相关业务均不涉及使用特权容器后再禁用
允许匿名请求
是否启用针对 API 服务器的安全端口的匿名请求
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
anonymous-auth |
false:不允许 true:允许 |
false |
允许 |
CCE Standard/CCE Turbo |
未被其他身份认证方法拒绝的请求被当做匿名请求。 匿名请求的用户名为 system:anonymous, 用户组名为 system:unauthenticated
配置建议:
如涉及使用匿名(不携带身份凭证)访问的场景(如使用kubeadm过程中涉及部分查询操作),可以按需开启匿名访问
开启匿名访问的场景下请对匿名请求的用户名和分组(system:anonymous/system:unauthenticated)对应RBAC权限进行严格管控,避免对匿名请求授予的权限过大引入安全风险
父主题: 集群
