3.2.7 - Stellen Sie sicher, dass das Argument --eventRecordQPS auf 0 oder ein Niveau eingestellt ist, das eine angemessene Ereigniserfassung gewährleistet (automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1 - Worker-Knoten

Es ist entscheidend, alle sicherheitsrelevanten Informationen zu erfassen, was durch die Einstellung eventRecordQPS in der Kubelet-Konfiguration erleichtert wird. Diese Einstellung steuert die Rate der Ereignisprotokollierung und legt die maximale Anzahl von Ereigniserstellungen pro Sekunde fest. Wenn dieser Parameter zu niedrig eingestellt wird, könnten wichtige Ereignisse nicht protokolliert werden, während eine unbegrenzte Einstellung von 0 den Kubelet überlasten und zu einem Denial-of-Service führen könnte. Ereignisse spielen eine Schlüsselrolle in der Sicherheitsüberwachung und -analyse und gewährleisten eine kontinuierliche Überwachung der Umgebung. Daher ist es wichtig, dass die Ereignisverarbeitungs- und Speicherkapazitäten des Clusters angemessen skaliert werden, um die erwarteten Ereignislasten zu bewältigen, ohne die Stabilität des Dienstes zu beeinträchtigen.

Auswirkung

Das Setzen dieses Parameters auf 0 könnte zu einem Denial-of-Service-Zustand führen, da übermäßig viele Ereignisse erstellt werden. Die Ereignisverarbeitungs- und Speichersysteme des Clusters sollten skaliert werden, um die erwarteten Ereignislasten zu bewältigen.

Prüfung

Führen Sie den folgenden Befehl auf jedem Knoten aus:

sudo grep "eventRecordQPS" /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

Überprüfen Sie den für das Argument festgelegten Wert und bestimmen Sie, ob dieser auf ein angemessenes Niveau für das Cluster eingestellt wurde. Wenn das Argument nicht existiert, überprüfen Sie, ob eine Kubelet-Konfigurationsdatei durch --config angegeben ist, und überprüfen Sie den Wert an diesem Ort.

Wiederherstellung

Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um eventRecordQPS auf ein geeignetes Niveau einzustellen. Wenn Sie Befehlszeilenargumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei /etc/systemd/system/kubelet.service.d/10-kubeadm.conf auf jedem Worker-Knoten und setzen Sie den untenstehenden Parameter in der Variablen KUBELET_SYSTEM_PODS_ARGS.

Basierend auf Ihrem System starten Sie den Kubelet-Dienst neu. Zum Beispiel:

    systemctl daemon-reload
    systemctl restart kubelet.service