プロファイル適用性: レベル1 - ワーカーノード
すべてのリクエストを許可しないでください。明示的な承認を有効にしてください。
Kubeletsはデフォルトで、apiserverからの明示的な認可チェックを必要とせず、すべての認証済みリクエスト (匿名のものも含む) を許可します。この動作を制限し、明示的に認可されたリクエストのみを許可するべきです。
 |
注意デフォルトでは、
--authorization-mode引数はAlwaysAllowに設定されています。 |
影響
不正なリクエストは拒否されます。
監査
各ノードで次のコマンドを実行します。
ps -ef | grep kubelet
--authorization-mode引数が存在する場合、それがAlwaysAllowに設定されていないことを確認してください。存在しない場合は、--configで指定されたKubelet設定ファイルがあり、そのファイルでauthorization: modeがAlwaysAllow以外に設定されていることを確認してください。適切な認証情報を使用してアクセスすると、Kubeletの構成の詳細が提供されます。Kubeletの実行中の構成は、Kubelet APIポート (通常は
10250/TCP) の/configzエンドポイントを介して確認することも可能です。修復
Kubelet設定ファイルを使用する場合は、ファイルを編集して
authorization: modeをWebhookに設定してください。実行可能な引数を使用する場合、各ワーカーノードのkubeletサービスファイル
/etc/kubernetes/kubelet.confを編集し、KUBELET_AUTHZ_ARGS変数に以下のパラメータを設定してください。--authorization-mode=Webhook
お使いのシステムに基づいて、
kubeletサービスを再起動してください。例:systemctl daemon-reload systemctl restart kubelet.service