プロファイル適用性: レベル 1 - マスターノード
etcdはピア認証のために構成する必要があります。
etcdは、すべてのREST APIオブジェクトの永続的なストレージのためにKubernetesデプロイメントで使用される高可用性のキー値ストアです。これらのオブジェクトは機密性が高いため、etcdクラスター内の認証されたetcdピアのみがアクセスできるようにする必要があります。
 |
注意この推奨事項は、etcd クラスターにのみ適用されます。環境で 1 つの etcd サーバーのみを使用している場合、この推奨事項は適用されません。
|
|
注意デフォルトでは、
--peer-client-cert-auth 引数は false に設定されています。 |
影響
すべてのピアが etcd サーバーと通信しようとする場合、認証のために有効なクライアント証明書が必要です。
監査
etcdサーバーノードで次のコマンドを実行します:
ps -ef | grep etcd
--peer-client-cert-auth 引数が true に設定されていることを確認してください。修復
マスターノード上のetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yaml を編集し、以下のパラメータを設定します。--peer-client-cert-auth=true