プロファイル適用範囲: レベル1 - ワーカーノード
kube-proxyのメトリクスポートを非ループバックアドレスにバインドしないでください。
kube-proxyには、サービスに関する情報へのアクセスを提供し、ネットワークポートにバインドできる2つのAPIがあります。メトリクスAPIサービスには、kube-proxyの設定と運用に関する情報を公開するエンドポイント
(
/metricsおよび/configz) が含まれています。これらのエンドポイントは、提供するデータへのアクセスを制限するための暗号化や認証をサポートしていないため、信頼できないネットワークに公開すべきではありません。 |
注意初期設定値は
127.0.0.1:10249です。 |
影響
kube-proxyに関連するメトリクスや構成情報にアクセスしようとするサードパーティサービスは、ノードのlocalhostインターフェースへのアクセスが必要です。
監査
kube proxyに提供されたスタートアップフラグを確認してください。
各ノードで次のコマンドを実行します。
ps -ef | grep -i kube-proxy
--metrics-bind-addressパラメータが127.0.0.1以外の値に設定されていないことを確認してください。このコマンドの出力から、--configパラメータで指定された場所を取得します。その場所に保存されているファイルを確認し、metricsBindAddressに127.0.0.1以外の値が指定されていないことを確認してください。修復
メトリクスサービスを非ローカルホストアドレスにバインドする値を変更または削除してください。