プロファイル適用性: レベル 2 - マスターノード
kubelet が変更できる
Node および Pod オブジェクトを制限します。NodeRestriction プラグインを使用すると、kubelet が定義された Node および Pod オブジェクトに制限されることが保証されます。このような kubelet は、自分の Node API オブジェクトのみを変更でき、自分のノードにバインドされている Pod API オブジェクトのみを変更できます。 |
注意デフォルトでは、
NodeRestrictionは設定されていません。 |
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-apiserver
--enable-admission-plugins 引数が NodeRestriction を含む値に設定されていることを確認してください。修復
Kubernetesのドキュメントに従い、kubelet上で
NodeRestrictionプラグインを構成します。その後、マスターノード上のAPIサーバーポッド仕様ファイル/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--enable-admission-pluginsパラメータにNodeRestrictionを含む値を設定します。--enable-admission-plugins=...,NodeRestriction,...