プロファイル適用性: レベル1 - マスターノード
APIサーバでTLS接続を設定します。
APIサーバ通信には、転送中に暗号化されたままであるべき機密パラメータが含まれています。APIサーバをHTTPSトラフィックのみを提供するように設定してください。
--client-ca-file引数が設定されている場合、client-ca-fileにある認証局のいずれかによって署名されたクライアント証明書を提示するリクエストは、クライアント証明書のCommonNameに対応するアイデンティティで認証されます。 |
注意デフォルトでは、
--client-ca-file 引数は設定されていません。 |
影響
TLSとクライアント証明書認証は、Kubernetesクラスターのデプロイメントに対して構成する必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--client-ca-file引数が存在し、適切に設定されていることを確認してください。修復
Kubernetesのドキュメントに従って、apiserverでTLS接続を設定します。その後、マスターノード上のAPIサーバポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、クライアント認証局ファイルを設定します。--client-ca-file=<path/to/client-ca-file>