プロファイル適用性: レベル1 - マスターノード
スケジューラーサービスをループバック以外の安全でないアドレスにバインドしないでください。
スケジューラーAPIサービスはデフォルトでポート10251/TCPで実行され、健康とメトリクス情報に使用され、認証や暗号化なしで利用可能です。そのため、クラスターの攻撃領域を最小限に抑えるために、ローカルホストインターフェースにのみバインドする必要があります。
 |
注意デフォルトでは、
--bind-addressパラメータは0.0.0.0に設定されています。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-scheduler
--bind-address 引数が 127.0.0.1 に設定されていることを確認してください。修復
コントロールプレーンノードでスケジューラーポッド仕様ファイル
/etc/kubernetes/manifests/kube-scheduler.yamlを編集し、--bind-addressパラメータの正しい値を確認してください。