プロファイル適用性: レベル 1 - マスターノード
自動生成された自己署名証明書をピア間のTLS接続に使用しないでください。
etcdは、すべてのREST APIオブジェクトの永続的なストレージのためにKubernetesデプロイメントで使用される高可用性のキー・バリュー・ストアです。これらのオブジェクトは機密性が高いため、etcdクラスター内の認証されたetcdピアのみがアクセスできるようにする必要があります。したがって、認証には自己署名証明書を使用しないでください。
 |
注意この推奨事項は、etcd クラスターにのみ適用されます。環境で 1 つの etcd サーバーのみを使用している場合、この推奨事項は適用されません。
|
|
注意デフォルトでは、
--peer-auto-tls 引数は false に設定されています。 |
影響
etcdサーバーと通信しようとするすべてのピアは、認証のために有効なクライアント証明書が必要です。
監査
etcdサーバーノードで次のコマンドを実行します:
ps -ef | grep etcd
--peer-auto-tls 引数が存在する場合、それが true に設定されていないことを確認してください。修復
マスターノード上のetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yaml を編集し、--peer-auto-tls パラメータを削除するか、false に設定します。--peer-auto-tls=false