プロファイル適用性: レベル 1 - マスターノード
トークンベースの認証を使用しないでください。
トークンベースの認証は、apiserverへのリクエストを認証するために静的トークンを利用します。トークンはapiserver上のファイルに平文で保存され、apiserverを再起動しない限り取り消したり回転させたりすることはできません。したがって、静的トークンベースの認証は使用しないでください。
 |
注意デフォルトでは、
--token-auth-file 引数は設定されていません。 |
影響
証明書などの代替認証メカニズムを構成して使用する必要があります。静的トークンベースの認証は使用できません。
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-apiserver
--token-auth-file 引数が存在しないことを確認してください。代替監査方法
kubectl get pod -nkube-system -lcomponent=kube-apiserver -o=jsonpath='{range .items[]}{.spec.containers[].command} {"\n"}{end}' | grep '--token-auth-file' | grep -i false
終了コードが1の場合、コントロールが存在しないか失敗しています。
修復
ドキュメントに従って、認証のための代替メカニズムを構成します。その後、マスターノード上のAPIサーバーポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yaml を編集し、--token-auth-file=<filename> パラメータを削除します。