プロファイル適用性: レベル 1 - マスターノード
etcdはピア接続のためにTLS暗号化を使用するように構成する必要があります。
etcdは、すべてのREST APIオブジェクトの永続的なストレージのためにKubernetesデプロイメントで使用される高可用性のキー値ストアです。これらのオブジェクトは機密性が高いため、転送中およびetcdクラスター内のピア間で暗号化する必要があります。
 |
注意この推奨事項は、etcd クラスターにのみ適用されます。環境で 1 つの etcd サーバーのみを使用している場合、この推奨事項は適用されません。
|
|
注意デフォルトでは、TLSを介したピア通信は構成されていません。
|
影響
etcd クラスターのピアは通信のためにTLSを設定する必要があります。
監査
etcdサーバーノードで次のコマンドを実行します:
ps -ef | grep etcd
--peer-cert-file および --peer-key-file 引数が適切に設定されていることを確認してください。修復
etcdサービスのドキュメントに従い、etcdクラスターに適したピアTLS暗号化を構成します。次に、マスターノード上のetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yamlを編集し、以下のパラメーターを設定します。--peer-client-file=</path/to/peer-cert-file> --peer-key-file=</path/to/peer-key-file>