プロファイル適用性: レベル 1 - マスターノード
etcd はクライアント接続のために TLS 暗号化を使用するように構成する必要があります。
etcdは、すべてのREST APIオブジェクトの永続的なストレージのためにKubernetesデプロイメントで使用される高可用性のキー値ストアです。これらのオブジェクトは機密性が高いため、クライアント認証によって保護する必要があります。これには、APIサーバーがSSL証明書認証局ファイルを使用してetcdサーバーに自分自身を識別する必要があります。
 |
注意デフォルトでは、
--etcd-cafile は設定されていません。 |
影響
etcdのためにTLSおよびクライアント証明書認証を構成する必要があります。
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-apiserver
--etcd-cafile 引数が存在し、適切に設定されていることを確認してください。修復
Kubernetesのドキュメントに従い、apiserverとetcdの間のTLS接続を設定します。その後、マスターノード上のAPIサーバーポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、etcd証明書認証局ファイルのパラメータを設定します。--etcd-cafile=<path/to/ca-file>