プロファイル適用性: レベル 1 - マスターノード
etcdはクライアント接続のためにTLS暗号化を使用するように構成する必要があります。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー値ストアであり、すべてのREST APIオブジェクトの永続的なストレージとして機能します。これらのオブジェクトは機密性が高いため、クライアント認証によって保護する必要があります。これには、APIサーバーがクライアント証明書とキーを使用してetcdサーバーに自身を識別することが必要です。
 |
注意デフォルトでは、
--etcd-certfile および --etcd-keyfile 引数は設定されていません。 |
影響
etcdのためにTLSおよびクライアント証明書認証を構成する必要があります。
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-apiserver
--etcd-certfile および --etcd-keyfile 引数が存在し、適切に設定されていることを確認してください。修復
Kubernetes のドキュメントに従って、apiserver と etcd の間の TLS 接続を設定します。次に、マスターノード上の API サーバーポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yaml を編集し、etcd 証明書とキー ファイル パラメータを設定します。--etcd-certfile=<path/to/client-certificate-file> --etcd-keyfile=<path/to/client-key-file>