プロファイル適用性: レベル1
セキュリティ関連情報は記録されるべきです。Kubelet設定の
eventRecordQPSは、イベントが収集される速度を制限し、1秒あたりの最大イベント作成数を設定するために使用できます。これを低く設定しすぎると、関連するイベントがログに記録されない可能性がありますが、0の無制限設定はkubeletのサービス拒否を引き起こす可能性があります。イベントをすべて記録し、イベントの作成を制限しないことが重要です。イベントはセキュリティ情報と分析の重要な情報源であり、イベントデータを使用して環境が一貫して監視されていることを保証します。
 |
注意デフォルト値についてはAmazon EKSのドキュメントを参照してください。
|
影響
このパラメータを0に設定すると、過剰なイベントが作成されることによりサービス拒否状態が発生する可能性があります。クラスターのイベント処理およびストレージシステムは、予想されるイベント負荷に対応できるようにスケールする必要があります。
監査
各ノードで次のコマンドを実行します。
sudo grep "eventRecordQPS" /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
引数に設定された値を確認し、クラスタに対して適切なレベルに設定されているかどうかを判断してください。
引数が存在しない場合、
--configで指定されたKubelet設定ファイルがあることを確認し、この場所の値を確認してください。修復
Kubelet設定ファイルを使用する場合、ファイルを編集して
eventRecordQPS:を適切なレベルに設定してください。Command Line引数を使用する場合、各ワーカーノードのkubeletサービスファイル
/etc/systemd/system/kubelet.service.d/10-kubeadm.confを編集し、KUBELET_SYSTEM_PODS_ARGS変数に以下のパラメータを設定してください。お使いのシステムに基づいて、
kubeletサービスを再起動してください。例:systemctl daemon-reload systemctl restart kubelet.service