プロファイル適用性: レベル 1 - ワーカーノード
kube-proxy メトリクスポートを非ループバックアドレスにバインドしないでください。
kube-proxy には、サービスに関する情報へのアクセスを提供し、ネットワークポートにバインドできる 2 つの API があります。メトリクス API サービスには、kube-proxy
の構成と操作に関する情報を開示するエンドポイント (
/metrics および /configz) が含まれています。これらのエンドポイントは、暗号化や認証をサポートしておらず、提供するデータへのアクセスを制限できないため、信頼できないネットワークに公開すべきではありません。 |
注意デフォルト値は
127.0.0.1:10249です。 |
影響
kube-proxyに関連するメトリクスや構成情報にアクセスしようとするサードパーティサービスは、ノードのローカルホストインターフェースへのアクセスが必要です。
監査
kube proxy に提供されたスタートアップフラグを確認してください。
ps -ef | grep -i kube-proxy
--metrics-bind-address パラメータが 127.0.0.1 以外の値に設定されていないことを確認してください。このコマンドの出力から、--config パラメータで指定された場所を取得します。その場所に保存されているファイルを確認し、metricsBindAddress に 127.0.0.1 以外の値が指定されていないことを確認してください。修復
メトリクスサービスを非ローカルホストアドレスにバインドする値を変更または削除します。