プロファイル適用性: レベル1 - マスターノード
ピア間のTLS接続に自動生成された自己署名証明書を使用しないでください。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー値ストアで、すべてのREST APIオブジェクトの永続的なストレージを提供します。これらのオブジェクトは機密性が高いため、認証されたetcdクラスター内のetcdピアのみがアクセスできるようにする必要があります。そのため、認証には自己署名証明書を使用しないでください。
 |
注意この推奨事項は、etcdクラスターにのみ適用されます。環境でetcdサーバを1つだけ使用している場合、この推奨事項は適用されません。
|
|
注意デフォルトでは、
--peer-auto-tls引数はfalseに設定されています。 |
影響
etcdサーバと通信を試みるすべてのピアは、認証のために有効なクライアント証明書が必要です。
監査
etcdサーバノードで次のコマンドを実行してください。
ps -ef | grep etcd
--peer-auto-tls引数が存在する場合、それがtrueに設定されていないことを確認してください。修復
マスターノード上のetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yamlを編集し、--peer-auto-tlsパラメータを削除するか、falseに設定してください。--peer-auto-tls=false