プロファイルの適用範囲:レベル1 - ワーカーノード
セキュリティに関連する情報をすべてキャプチャすることは重要です。これは、イベントログのレートを制御し、1秒あたりのイベント作成の最大数を設定するKubelet構成のeventRecordQPS設定によって容易に実現できます。このパラメータをあまりに低く設定すると、重要なイベントがログに記録されなくなる可能性があります。一方、0の無制限設定はKubeletを過負荷にし、サービスの安定性を損なう可能性があります。イベントはセキュリティ監視と分析において重要な役割を果たし、環境の継続的な監視を確保します。したがって、クラスターのイベント処理とストレージ容量が適切にスケーリングされ、サービスの安定性が損なわれることなく、予想されるイベント負荷を管理できるようにすることが重要です。
影響
このパラメータを0に設定すると、過剰なイベントが作成されるため、サービス拒否状態になる可能性があります。クラスターのイベント処理およびストレージシステムは、予想されるイベント負荷に対応できるようにスケールする必要があります。
監査
各ノードで次のコマンドを実行してください:
sudo grep "eventRecordQPS" /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
引数に設定された値を確認し、クラスタに対して適切なレベルに設定されているかどうかを判断します。引数が存在しない場合は、
--configで指定されたKubelet構成ファイルがあるかどうかを確認し、この場所の値を確認します。修復
Kubelet config ファイルを使用している場合は、ファイルを編集して
eventRecordQPS を適切なレベルに設定します。コマンドライン引数を使用している場合は、各ワーカーノードの kubelet サービスファイル /etc/systemd/system/kubelet.service.d/10-kubeadm.conf を編集し、以下のパラメータを KUBELET_SYSTEM_PODS_ARGS 変数に設定します。お使いのシステムに基づいて、kubeletサービスを再起動してください。例えば:
systemctl daemon-reload systemctl restart kubelet.service