プロファイル適用性: レベル 1 - マスターノード
APIサーバーでTLS接続を設定します。
APIサーバー通信には、転送中に暗号化されたままであるべき機密パラメーターが含まれています。APIサーバーをHTTPSトラフィックのみを提供するように構成してください。
--client-ca-file引数が設定されている場合、client-ca-file内の認証局の1つによって署名されたクライアント証明書を提示するリクエストは、クライアント証明書のCommonNameに対応するアイデンティティで認証されます。 |
注意デフォルトでは、
--client-ca-file 引数は設定されていません。 |
影響
TLSおよびクライアント証明書認証は、Kubernetesクラスターのデプロイメントに対して構成する必要があります。
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-apiserver
--client-ca-file 引数が存在し、適切に設定されていることを確認してください。修復
Kubernetesのドキュメントに従って、apiserverでTLS接続を設定します。その後、マスターノード上のAPIサーバーポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、クライアント証明書認証局ファイルを設定します。--client-ca-file=<path/to/client-ca-file>