プロファイルの適用範囲: レベル 1
証明書認証局ファイルの所有権が
root:rootに設定されていることを確認してください。証明書認証局ファイルは、APIリクエストを検証するために使用される認証局を制御します。ファイルの整合性を維持するために、ファイルの所有権を設定する必要があります。ファイルは
root:rootが所有する必要があります。 |
注意デフォルトでは、OpenShift 4 では、
--client-ca-file は /etc/kubernetes/kubelet-ca.crt に設定され、所有者は root:root です。 |
監査
kubelet のクライアント CA の場所は /etc/kubernetes/kubelet.conf で定義されており、デフォルトでは /etc/kubernetes/kubelet-ca.crt です。次のコマンドを実行して、ユーザおよびグループの所有権を表示します:
for node in $(oc get nodes -o jsonpath='{.items[*].metadata.name}')
do
oc debug node/${node} -- chroot /host stat -c %U:%G
/etc/kubernetes/kubelet-ca.crt
done
所有権が
root:rootに設定されていることを確認してください。