プロファイル適用性: レベル 1 - マスターノード
etcdサービスでクライアント認証を有効にする。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー・バリュー・ストアであり、すべてのREST APIオブジェクトの永続的なストレージとして機能します。これらのオブジェクトは機密性が高いため、認証されていないクライアントに対して利用可能にすべきではありません。etcdサービスへのアクセスを保護するために、有効な証明書を使用してクライアント認証を有効にする必要があります。
 |
注意デフォルトでは、認証されていないクライアントによって etcd サービスがクエリされる可能性があります。
|
影響
すべてのクライアントがetcdサーバーにアクセスしようとする場合、有効なクライアント証明書が必要です。
監査
etcdサーバーノードで次のコマンドを実行します:
ps -ef | grep etcd
--client-cert-auth 引数が true に設定されていることを確認してください。修復
マスターノード上のetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yaml を編集し、以下のパラメータを設定します。--client-cert-auth="true"