强化

    增加群集的安全性

    当您从 转为 strict . 时,您的群集将变得更加安全。但是,有许多设置可以独立于安全模式进行修改,以提高群集的安全性。

    • 确保根据 [保护群集] 的信息设置网络。(/mesosphere/dcos/cn/2.1/administering-clusters/securing-your-cluster/).

    • 设置 auth_cookie_secure_flag 为 .

    • 并手动配置 浏览器、、curl 和其他客户端。

    • .

    • 使用密匙来存储敏感信息并将其传递给服务.

    • 严格限制 SSH 密钥的分发。对于调试,请考虑使用 [dcos task exec(/mesosphere/dcos/cn/2.1/monitoring/debugging/)

    • 坚持,并为您的用户提供他们所需的最低权限 避免授予用户或服务帐户 dcos:superuser 权限。

    • 如果,请选择对所有连接使用 SSL/TLS或 **尝试 StarTtLS,如果失败则中止,并在 CA certificate chain (Optional) 字段中提供根 CA 根证书以及 LDAP 目录服务器的任何中间证书。

    • 通过在 config.yml 中 设置 exhibitor_tls_requiredtrue 来加强 Exhibitor 服务安全性。如果您的集群已部署,则 Exhibitor 安全性可以 。