プロファイル適用性: レベル 1 - マスターノード
ポッドが接続を確立する前にAPIサーバーのサービング証明書を検証できるようにします。
Pod内で実行されているプロセスがAPIサーバーに接続する必要がある場合、APIサーバーのサービング証明書を検証する必要があります。これを怠ると、中間者攻撃の対象となる可能性があります。
APIサーバーのサービング証明書のルート証明書を
--root-ca-file引数でコントローラーマネージャーに提供することで、コントローラーマネージャーが信頼されたバンドルをポッドに注入し、APIサーバーへのTLS接続を検証できるようにします。 |
注意デフォルトでは、
--root-ca-fileは設定されていません。 |
影響
ルート証明書機関ファイルを設定および維持する必要があります。
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-controller-manager
--root-ca-file 引数が存在し、API サーバーのサービング証明書のルート証明書を含む証明書バンドルファイルに設定されていることを確認してください。修復
コントローラーマネージャーポッドの仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yaml をコントロールプレーンノードで編集し、--root-ca-file パラメータを証明書バンドルファイルに設定します。--root-ca-file=<path/to/file>