プロファイル適用性: レベル 1 - マスターノード
TLSに自己署名証明書を使用しないでください。
etcdは、Kubernetesデプロイメントで使用される高可用性のキー・バリュー・ストアで、すべてのREST APIオブジェクトの永続的なストレージとして機能します。これらのオブジェクトは機密性が高いため、認証されていないクライアントに対して利用可能にすべきではありません。etcdサービスへのアクセスを保護するために、有効な証明書を使用してクライアント認証を有効にする必要があります。
 |
注意デフォルトでは、
--auto-tls は false に設定されています。 |
影響
クライアントはTLSに自己署名証明書を使用できません。
監査
etcdサーバーノードで次のコマンドを実行します:
ps -ef | grep etcd
--auto-tls 引数が存在する場合、それが true に設定されていないことを確認してください。修復
マスターノード上のetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yaml を編集し、--auto-tls パラメータを削除するか、false に設定します。--auto-tls=false