3.2.2 - authorization-mode引数がAlwaysAllowに設定されていないことを確認してください（自動化）

影響

監査

注意 Kubeletは、設定ファイルまたはコマンドライン引数を介して構成できます。コマンドライン引数が優先されます。Kubeletの構成を監査する際には、コマンドライン引数と構成ファイルのエントリの両方を確認してください。

1. 各ノードにSSH接続し、アクティブなKubeletプロセスの詳細を表示するには、次のコマンドを実行してください

   ps -ef | grep kubelet

2. --config引数から設定ファイルの場所を特定し、出力からファイルを表示します

   sudo less /path/to/kubelet-config.json

3. Webhook認証が有効になっていることを確認してください
   • Kubeletサービスへのコマンドライン引数:

     --authentication-token-webhook

   • Kubelet設定ファイルで:

      { "authentication": { "webhook": { "enabled": true } } } 

4. 認証モードがWebHookに設定されていることを確認してください
   • Kubeletサービスへのコマンドライン引数:

     --authorization-mode=Webhook

   • Kubelet設定ファイルで:

      { "authorization": { "mode": "Webhook" } } 

1. クラスター内のすべてのノードを検出します:

   kubectl get nodes

2. ローカルポート（例:8080）でkubectlを使用してプロキシを開始します

   kubectl proxy --port=8080

3. 別のターミナルで、各ノードに対して以下のコマンドを実行してください

   export NODE_NAME=my-node-name curl http://localhost:8080/api/v1/nodes/${NODE_NAME}/proxy/configz

4. API 対応を確認するには、Webhook認証が有効になっていることを確認してください

    { "authentication": { "webhook": { "enabled": true } } } 

5. API 対応を確認するには、認証モードがWebHookに設定されていることを確認してください

    { "authorization": { "mode": "Webhook" } } 

修復

1. 各ノードにSSH接続してください。
2. Kubeletの設定ファイルを検索してください:

   ps -ef | grep kubelet

3. 設定ファイルを表示するには、次を使用してください:

   sudo less /path/to/kubelet-config.json

4. 以下のパラメータを設定して、Webhook認証を有効にします

    { "authentication": { "webhook": { "enabled": true } }, "authorization": { "mode": "Webhook" } } 

5. kubeletサービスを再起動し、そのステータスを確認してください（systemdを使用するシステムの例）:

   systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l

1. コマンドライン引数を使用する場合は、kubeletサービスファイルを編集して、次のパラメーターを含めてください

   --authentication-token-webhook --authorization-mode=Webhook

2. systemdを使用するシステムの場合、/ etc/systemd/system/kubelet .service.d / 10-kubelet-args.confにあるファイルを編集してください。
3. kubeletサービスを再起動し、そのステータスを確認してください（systemdを使用するシステムの例）:

    systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l