工作

• 处理kubelet 10255漏洞
  kubelet默认会开放10255只读端口，例如：ip:10255/pods，用于查询解点pods信息，但这些信息中会包含环境变量，健康探针，启动钩子等等，这些很多都是敏感信息，所以不能对外暴露该只读接口。

修复方案

1 参考官网

kubelet增加启动参数：--read-only-port=0

2 每台节点安全组绕过10255端口

3 对于每台节点设置iptables拒绝10255进来的流量

标签：只读,10255,端口,kubelet,pods,复盘,每台
来源： https://www.cnblogs.com/ivan-blog/p/16197249.html