プロファイル適用性: レベル1 - マスターノード
コントローラマネージャサービスを非ループバックの安全でないアドレスにバインドしないでください。
デフォルトでポート10252/TCPで実行されるコントローラーマネージャAPIサービスは、健康とメトリクス情報に使用され、認証や暗号化なしで利用可能です。そのため、クラスターの攻撃領域を最小限に抑えるために、localhostインターフェースにのみバインドする必要があります。
 |
注意デフォルトでは、
--bind-addressパラメータは0.0.0.0に設定されています。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-controller-manager
--bind-address 引数が 127.0.0.1 に設定されていることを確認してください修復
コントロールプレーンノード上のコントローラーマネージャポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yamlを編集し、--bind-addressパラメータに正しい値を設定してください。 |
注意現在のKubernetesドキュメントサイトでは
--addressは--bind-addressに置き換えられる予定であるとされていますが、Kubeadm 1.11ではまだ--addressが使用されています。 |