プロファイル適用性: レベル1 - マスターノード
TLSに自己署名証明書を使用しないでください。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー値ストアであり、すべてのREST APIオブジェクトの永続的なストレージを提供します。これらのオブジェクトは機密性が高いため、認証されていないクライアントに対して利用可能であってはなりません。etcdサービスへのアクセスを保護するために、有効な証明書を使用してクライアント認証を有効にする必要があります。
 |
注意デフォルトでは、
--auto-tlsはfalseに設定されています。 |
影響
クライアントはTLSに自己署名証明書を使用できません。
監査
etcdサーバノードで次のコマンドを実行してください:
ps -ef | grep etcd
--auto-tls引数が存在する場合、trueに設定されていないことを確認してください。修復
マスターノード上のetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yamlを編集し、--auto-tlsパラメータを削除するか、falseに設定してください。--auto-tls=false