プロファイル適用性: レベル 1 - ワーカーノード
すべてのリクエストを許可しないでください。明示的な認可を有効にしてください。
Kubeletsはデフォルトで、apiserverからの明示的な認可チェックを必要とせずに、すべての認証済みリクエスト(匿名リクエストも含む)を許可します。この動作を制限し、明示的に認可されたリクエストのみを許可するようにすべきです。
 |
注意デフォルトでは、
--authorization-mode 引数は AlwaysAllow に設定されています。 |
影響
不正なリクエストは拒否されます。
監査
各ノードで次のコマンドを実行してください:
ps -ef | grep kubelet
--authorization-mode 引数が存在する場合、それが AlwaysAllow に設定されていないことを確認します。存在しない場合は、--config によって指定された Kubelet 設定ファイルがあり、そのファイルが authorization: mode を AlwaysAllow 以外に設定していることを確認します。Kubeletの実行中の構成をKubelet APIポート(通常は
10250/TCP)の/configzエンドポイントを介して確認することも可能です。適切な認証情報を使用してこれらにアクセスすると、Kubeletの構成の詳細が提供されます。修復
Kubelet構成ファイルを使用する場合は、ファイルを編集して
authorization: modeをWebhookに設定します。実行可能な引数を使用する場合は、各ワーカーノードのkubeletサービスファイル/etc/kubernetes/kubelet.confを編集し、以下のパラメータをKUBELET_AUTHZ_ARGS変数に設定します。--authorization-mode=Webhook
お使いのシステムに基づいて、
kubeletサービスを再起動します。例えば:systemctl daemon-reload systemctl restart kubelet.service