プロファイルの適用範囲: レベル 1
Kubeletサーバへの匿名リクエストを無効にする。
有効にすると、他の設定された認証方法によって拒否されなかったリクエストは匿名リクエストとして扱われます。これらのリクエストはKubeletサーバによって処理されます。アクセスを許可し、匿名リクエストを禁止するために認証に依存する必要があります。
 |
注意デフォルトでは、匿名アクセスは
falseに設定されています。 |
影響
匿名のリクエストは拒否されます。
監査
OpenShift 4 では、Kubernetes 構成ファイルは Machine Config Operator によって管理され、
anonymous-auth はデフォルトで false に設定されています。各ノードで次のコマンドを実行して、匿名認証の設定を行います:
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authentication.anonymous.enabled'
done
各ノードの構成が
falseを返すことを確認してください。修復
kubeletconfig を作成して匿名認証を明示的に無効にします。これを行う方法の例は、OpenShift ドキュメント にあります。