プロファイル適用性: レベル 1 - マスターノード
コントローラーマネージャーサービスを非ループバックの安全でないアドレスにバインドしないでください。
デフォルトでポート10252/TCPで実行されるController Manager APIサービスは、健康およびメトリクス情報に使用され、認証や暗号化なしで利用可能です。そのため、クラスターの攻撃領域を最小限に抑えるために、ローカルホストインターフェースにのみバインドする必要があります。
 |
注意デフォルトでは、
--bind-addressパラメータは0.0.0.0に設定されています。 |
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-controller-manager
--bind-address 引数が 127.0.0.1 に設定されていることを確認してください修復
コントロールプレーンノードのController Managerポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yaml を編集し、--bind-address パラメータの正しい値を確認してください。 |
注意現在のKubernetesドキュメントサイトでは
--addressは--bind-addressに置き換えられる予定であると記載されていますが、Kubeadm 1.11ではまだ--addressが使用されています。 |