プロファイル適用性: レベル1 - マスターノード
APIサーバでTLS接続を設定します。
APIサーバ通信には、転送中に暗号化されたままであるべき機密パラメータが含まれています。APIサーバをHTTPSトラフィックのみを提供するように設定してください。
--client-ca-file引数が設定されている場合、client-ca-file内の認証局のいずれかによって署名されたクライアント証明書を提示するリクエストは、クライアント証明書のCommonNameに対応するアイデンティティで認証されます。 |
注意デフォルトでは、
--client-ca-file引数は設定されていません。 |
影響
Kubernetesクラスターのデプロイメントには、TLSおよびクライアント証明書認証を構成する必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--client-ca-file引数が存在し、適切に設定されていることを確認してください。修復
Kubernetesのドキュメントに従って、apiserverでTLS接続を設定してください。その後、マスターノード上のAPIサーバーポッド仕様ファイル
/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、クライアント認証局ファイルを設定してください。--client-ca-file=<path/to/client-ca-file>