プロファイル適用性: レベル1 - マスターノード
etcdはクライアント接続のためにTLS暗号化を利用するように設定する必要があります。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー値ストアであり、すべてのREST APIオブジェクトの永続的なストレージを提供します。これらのオブジェクトは機密性が高いため、クライアント認証によって保護されるべきです。これには、APIサーバがクライアント証明書とキーを使用してetcdサーバに対して自身を識別する必要があります。
 |
注意デフォルトでは、
--etcd-certfileおよび--etcd-keyfile引数は設定されていません。 |
影響
etcdにはTLSとクライアント証明書認証を構成する必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--etcd-certfileおよび--etcd-keyfile引数が存在し、適切に設定されていることを確認してください。修復
Kubernetesのドキュメントに従い、apiserverとetcdの間でTLS接続を設定してください。その後、マスターノード上のAPIサーバポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、etcdの証明書とキーのファイルパラメータを設定してください。--etcd-certfile=<path/to/client-certificate-file> --etcd-keyfile=<path/to/client-key-file>