プロファイル適用性: レベル 1 - マスターノード
スケジューラーサービスを非ループバックの安全でないアドレスにバインドしないでください。
スケジューラーAPIサービスはデフォルトでポート10251/TCPで実行され、健康およびメトリクス情報に使用され、認証や暗号化なしで利用可能です。そのため、クラスターの攻撃領域を最小限に抑えるために、ローカルホストインターフェースにのみバインドする必要があります。
 |
注意デフォルトでは、
--bind-addressパラメータは0.0.0.0に設定されています。 |
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-scheduler
--bind-address 引数が 127.0.0.1 に設定されていることを確認してください。修復
コントロールプレーンノード上のスケジューラポッド仕様ファイル
/etc/kubernetes/manifests/kube-scheduler.yaml を編集し、--bind-address パラメータの正しい値を確認してください。