プロファイル適用性: レベル1 - ワーカーノード
すべてのリクエストを許可しないでください。明示的な承認を有効にしてください。
デフォルトでは、Kubeletはすべての認証済みリクエスト (匿名のものも含む) をapiserverからの明示的な認可チェックなしで許可します。この動作を制限し、明示的に認可されたリクエストのみを許可するべきです。
 |
注意デフォルトでは、
--authorization-mode 引数は AlwaysAllow に設定されています。 |
影響
不正なリクエストは拒否されます。
監査
各ノードで次のコマンドを実行します。
ps -ef | grep kubelet
--authorization-mode引数が存在する場合、それがAlwaysAllowに設定されていないことを確認してください。存在しない場合は、--configで指定されたKubelet設定ファイルがあり、そのファイルがauthorization: modeをAlwaysAllow以外のものに設定していることを確認してください。Kubeletの実行中の設定を
/configzエンドポイントを介してKubelet APIポート (通常は10250/TCP) で確認することも可能です。適切な認証情報でこれらにアクセスすると、Kubeletの設定の詳細が提供されます。修復
Kubelet設定ファイルを使用する場合、ファイルを編集して
authorization: modeをWebhookに設定します。実行可能な引数を使用する場合は、各ワーカーノードのkubeletサービスファイル/etc/kubernetes/kubelet.confを編集し、以下のパラメータをKUBELET_AUTHZ_ARGS変数に設定します。--authorization-mode=Webhook
お使いのシステムに基づいて、
kubeletサービスを再起動してください。例:systemctl daemon-reload systemctl restart kubelet.service