プロファイル適用性: レベル1 - マスターノード
接続を確立する前にkubeletの証明書を検証してください。
apiserverからkubeletへの接続は、ポッドのログを取得したり、実行中のポッドに (kubectlを通じて) アタッチしたり、kubeletのポートフォワーディング機能を使用するために使用されます。これらの接続はkubeletのHTTPSエンドポイントで終了します。デフォルトでは、apiserverはkubeletのサービング証明書を検証しないため、接続が中間者攻撃の対象となり、不信頼または公共のネットワーク上での実行が安全でないものとなります。
 |
注意デフォルトでは、
--kubelet-certificate-authority 引数は設定されていません。 |
影響
apiserverおよびkubeletにTLSを設定する必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--kubelet-certificate-authority 引数が存在し、適切に設定されていることを確認する。代替監査方法
kubectl get pod -nkube-system -lcomponent=kube-apiserver -o=jsonpath='{range
.items[]}{.spec.containers[].command} {"\n"}{end}' | grep '--kubelet-certificate-Authority' |
grep -i false
終了コードが1の場合、コントロールが存在しないか失敗しています。
修復
Kubernetesのドキュメントに従い、apiserverとkubelet間のTLS接続を設定してください。その後、コントロールプレーンノード上のAPIサーバポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、認証局の証明書ファイルへのパスを--kubelet-certificate-authorityパラメータに設定してください。--kubelet-certificate-authority=<ca-string>