プロファイル適用性: レベル1 - マスターノード
TLSに自己署名証明書を使用しないでください。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー・バリュー・ストアであり、すべてのREST APIオブジェクトの永続的なストレージとして機能します。これらのオブジェクトは機密性が高いため、認証されていないクライアントに対しては利用可能にすべきではありません。etcdサービスへのアクセスを保護するために、有効な証明書を使用してクライアント認証を有効にする必要があります。
 |
注意デフォルトでは、
--auto-tlsはfalseに設定されています。 |
影響
クライアントはTLSに自己署名証明書を使用できません。
監査
etcdサーバノードで次のコマンドを実行してください:
ps -ef | grep etcd
--auto-tls引数が存在する場合、それがtrueに設定されていないことを確認してください。修復
マスターノードでetcdポッド仕様ファイル
/etc/kubernetes/manifests/etcd.yamlを編集し、--auto-tlsパラメータを削除するか、falseに設定してください。--auto-tls=false