プロファイル適用性: レベル2 - マスターノード
kubeletが変更できる
NodeおよびPodオブジェクトを制限します。NodeRestrictionプラグインを使用することで、kubeletは定義されたNodeおよびPodオブジェクトに制限されます。このようなkubeletは、自身のNodeAPIオブジェクトのみを変更でき、ノードにバインドされたPodAPIオブジェクトのみを変更することが許可されます。 |
注意デフォルトでは、
NodeRestrictionは設定されていません。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--enable-admission-plugins引数がNodeRestrictionを含む値に設定されていることを確認してください。修復
Kubernetesのドキュメントに従い、kubelet上で
NodeRestrictionプラグインを構成します。その後、マスターノード上のAPIサーバポッド仕様ファイル/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--enable-admission-pluginsパラメータにNodeRestrictionを含む値を設定します。--enable-admission-plugins=...,NodeRestriction,...