プロファイル適用性: レベル1 - ワーカーノード
kube-proxyのメトリクスポートをループバックアドレス以外にバインドしないでください。
kube-proxyには、サービスに関する情報へのアクセスを提供し、ネットワークポートにバインドできる2つのAPIがあります。メトリクスAPIサービスには、kube-proxyの構成と運用に関する情報を開示するエンドポイント
(
/metrics および/configz) が含まれています。これらのエンドポイントは、提供するデータへのアクセスを制限するための暗号化や認証をサポートしていないため、信頼できないネットワークに公開してはいけません。 |
注意初期設定値は
127.0.0.1:10249です。 |
影響
kube-proxyに関連するメトリクスや構成情報にアクセスしようとするサードパーティサービスは、ノードのローカルホストインターフェースへのアクセスが必要です。
監査
kube proxyに提供されたスタートアップフラグを確認してください。
ps -ef | grep -i kube-proxy
--metrics-bind-addressパラメータが127.0.0.1以外の値に設定されていないことを確認してください。このコマンドの出力から、--configパラメータで指定された場所を取得します。その場所に保存されているファイルを確認し、metricsBindAddressに127.0.0.1以外の値が指定されていないことを確認してください。修復
メトリクスサービスを非ローカルホストアドレスにバインドする値を変更または削除してください。