由 kubeadm 创建的cluster 的kubernetes API 服务器，出于测试目的，

临时配置允许未经身份验证和未经授权的访问，授予匿名用户 cluster-admin 的访问权限。

重新配置cluster的Kubernetes APl 服务器，以确保只允许经过身份验证和授权的 REST请求。

使用授权模式 Node,RBAC 和准入控制器 NodeRestriction。

删除用户 system:anonymous 的 ClusterRoleBinding来进行清理。

注意：所有kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。

你不必更改它，但请注意，一旦完成 cluster 的安全加固， kubectl 的配置将无法工作。

您可以使用位于 cluster 的 master 节点上，cluster 原本的 kubectl 配置文件

/etc/kubernetes/admin.conf ，以确保经过身份验证的授权的请求仍然被允许。

https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/

切换集群

kubectl config usr-contextKSSH00401

1. 切换到master

ssh master && sudo -i

1. 确保只有认证并且授权过的 REST 请求才被允许

编辑 /etc/kubernetes/manifests/kube-apiserver.yaml 修改下面内容

• --authorization-mode=AlwaysAllow

• --enable-admission-plugins=AlwaysAdmit

vim /etc/kubernetes/manifests/kube-apiserver.yaml

修改为

• -- authorization-mode=Node,RBAC

• --enable-admission-plugins=NodeRestriction

重启kubelet

systemctl daemon-reload

systemctl restart kubelet

修改完后，等待3分钟，查看集群是否正常

查

kubectl get clusterrolebinding system:anonymous

删

kubectl delete clusterrolebinding system:anonymou