プロファイル適用性: レベル1 - マスターノード
トークンベースの認証を使用しないでください。
トークンベースの認証は、静的トークンを使用してapiserverへのリクエストを認証します。トークンはapiserver上のファイルにクリアテキストで保存され、apiserverを再起動しない限り取り消したり回転させたりすることはできません。したがって、静的トークンベースの認証は使用しないでください。
 |
注意デフォルトでは、
--token-auth-file引数は設定されていません。 |
影響
証明書などの代替認証メカニズムを設定して使用する必要があります。静的トークンベースの認証は使用できません。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--token-auth-file引数が存在しないことを確認してください。代替監査方法
kubectl get pod -nkube-system -lcomponent=kube-apiserver -o=jsonpath='{range
.items[]}{.spec.containers[].command} {"\n"}{end}' | grep '--token-auth-file' | grep -i false
終了コードが1の場合、コントロールが存在しないか失敗しています。
修復
ドキュメントに従って、認証のための代替メカニズムを構成してください。その後、マスターノード上のAPIサーバポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--token-auth-file=<filename>パラメータを削除してください。