반응형
1.32버전부터 401에러가 발생할 수 있기 때문에 헬스체크 엔드포인트를 꼭 확인하자.
1. API 서버 상태 검사 엔드포인트가 아래 3개로 제한됨
- anonymous authentication는 다음 API 서버 헬스체크 엔드포인트에 대한 제한됨
- /healthz
- /livez
- /readyz
- system:unauthenticated 사용자가 위 세 곳을 제외한 엔드포인트로 요청을 보내면 401 에러가 발생하게 됨
- public-info-viewer role은 쿠버네티스의 기본 ClusterRole인데, 위 엔드포인트를 통해 계속 헬스체크를 적용함
- 따라서 위 3개 헬스체크 엔드포인트 외에 사용되는지 확인하려면, public-info-viewer가 아닌 system:unauthenticated 사용자가 요청을 보냈을 때 정상적으로 처리된 API 호출 이력이 있는지 살펴봐야함
- CW loginsights 쿼리문:아래 쿼리 조회시 확인되는 로그 없어야 함 fields @logStream, @message | filter @logStream like /kube-apiserver-audit/ | filter responseStatus.code='200' | filter user.groups.0='system:unauthenticated' | filter @message not like 'public-info-viewer' | sort @timestamp desc
2. 1.32가 Amazon Linux 2(AL2) AMI를 릴리스하는 마지막 버전
3. flowcontrol.apiserver.k8s.io/v1beta3 API 버전 지원하지 않음
반응형
'OPS' 카테고리의 다른 글
| nginx-ingress-controller와 nginx-ingress-controller-admission 어떤 사이야? (0) | 2025.04.02 |
|---|---|
| nginx-ingress-controller 보안 취약점, nginx-ingress-controller 업그레이드(v1.12.1) 여정 (0) | 2025.04.02 |
| Amazon Linux 2 EOL 연장 (2025년6월30일->2026년 6월 30일) (0) | 2025.01.12 |
| Azure ML 실습 (1) | 2024.10.21 |
| Teams Athenticator 안 될 때 (0) | 2024.09.06 |