プロファイル適用性: レベル1 - マスターノード
ポッドが接続を確立する前にAPIサーバのサービング証明書を検証できるようにします。
ポッド内で実行されているプロセスがAPIサーバに接続する必要がある場合、APIサーバのサービング証明書を確認する必要があります。これを怠ると、中間者攻撃の対象となる可能性があります。
--root-ca-file引数を使用してAPIサーバの提供証明書のルート証明書をコントローラーマネージャに提供することで、コントローラーマネージャは信頼されたバンドルをポッドに注入し、APIサーバへのTLS接続を検証できるようになります。 |
注意デフォルトでは、
--root-ca-fileは設定されていません。 |
影響
ルート認証局ファイルを設定し、維持する必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-controller-manager
--root-ca-file引数が存在し、APIサーバのサービング証明書のルート証明書を含む証明書バンドルファイルに設定されていることを確認してください。修復
コントロールプレーンノードでコントローラーマネージャーポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yamlを編集し、--root-ca-fileパラメータを証明書バンドルファイルに設定します。--root-ca-file=<path/to/file>