プロファイル適用性: レベル2 - マスターノード
kubeletが変更できる
NodeおよびPodオブジェクトを制限します。NodeRestrictionプラグインを使用することで、kubeletが定義された通りに変更できるNodeおよびPodオブジェクトに制限されることが保証されます。このようなkubeletは、自分自身のNodeAPIオブジェクトのみを変更することが許可され、ノードにバインドされたPodAPIオブジェクトのみを変更することが許可されます。 |
注意デフォルトでは、
NodeRestrictionは設定されていません。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--enable-admission-plugins引数がNodeRestrictionを含む値に設定されていることを確認してください。修復
Kubernetesのドキュメントに従い、kubeletで
NodeRestrictionプラグインを設定します。その後、マスターノード上のAPIサーバポッド仕様ファイル/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、--enable-admission-pluginsパラメータにNodeRestrictionを含む値を設定します。--enable-admission-plugins=...,NodeRestriction,...