API サーバー:
--authorization-mode 引数に RBAC が含まれていることを確認する
ロール ベース アクセス制御をオンにします。ロール ベース アクセス制御 (RBAC) を使用すると、クラスター内のさまざまなオブジェクトに対してさまざまなエンティティが実行できる操作をきめ細かく制御できます。RBAC 認証モードを使用することをお勧めします。
修正 - ビルドタイム
クベネフィット
APIバージョン: v1
種類: ポッド
メタデータ:
作成タイムスタンプ: null
ラベル:
コンポーネント: kube-apiserver
層: コントロールプレーン
名前: kube-apiserver
名前空間: kube-system
仕様:
コンテナ:
- 指示：
+ - APIサーバーへ
+ - --authorization-mode=RBAC、ノード
イメージ: gcr.io/google_containers/kube-apiserver-amd64:v1.6.0
livenessProbe:
失敗しきい値: 8
httpGet:
ホスト: 127.0.0.1
パス: /healthz
ポート: 6443
スキーム: HTTPS
初期遅延秒数: 15
タイムアウト秒数: 15
名前: kube-apiserver-should-pass
リソース：
リクエスト:
CPU: 250m
ボリュームマウント:
- マウントパス: /etc/kubernetes/
名前: k8s
読み取り専用: true
- マウントパス: /etc/ssl/certs
名前: 証明書
- マウントパス: /etc/pki
名前: pki
ホストネットワーク: true
ボリューム:
- ホストパス:
パス: /etc/kubernetes
名前: k8s
- ホストパス:
パス: /etc/ssl/certs
名前: 証明書
- ホストパス:
パス: /etc/pki
名前: pki
--authorization-mode引数にNodeが含まれていることを確認する
修正方法: マスター ノード上の API サーバー ポッド仕様ファイル /etc/kubernetes/manifests/kube-apiserver.yaml を編集し、--authorization-mode パラメータを Node を含む値に設定します。
--authorization-mode=ノード、RBAC
監査：
/bin/ps -ef | grep kube-apiserver | grep -v grep
期待される結果:
「ノード、RBAC」には「ノード」があります
--profiling引数がfalseに設定されていることを確認します
修正方法: マスター ノード上の API サーバー ポッド仕様ファイル /etc/kubernetes/manifests/kube-apiserver.yaml を編集し、以下のパラメータを設定します。
--プロファイリング=false
監査：
/bin/ps -ef | grep kube-apiserver | grep -v grep
期待される結果:
「偽」は「偽」に等しい
Kubelet に対して見つかった次の違反をすべて修正します:- --anonymous-auth 引数が false に設定されていることを確認します。
修正方法: Kubelet 構成ファイルを使用している場合は、ファイルを編集して authentication: anonymous: enabled を false に設定します。実行可能引数を使用している場合は、各ワーカー ノードの kubelet サービス ファイル /etc/systemd/system/kubelet.service.d/10-kubeadm.conf を編集し、KUBELET_SYSTEM_PODS_ARGS 変数に以下のパラメーターを設定します。
--匿名認証=偽
システムに応じて、kubelet サービスを再起動します。例:
systemctlデーモンリロード
systemctl kubelet.service を再起動します。
監査：
/bin/ps -fC kubelet
監査設定:
kubelet の設定
期待される結果:
「偽」は「偽」に等しい
2) --authorization-mode 引数が Webhook に設定されていることを確認します。
監査
docker examine kubelet | jq -e '.[0].Args[] | match("--authorization-mode=Webhook").string' 戻り値: --authorization-mode=Webhook ETCD に対して見つかった次の違反をすべて修正します:- a. --auto-tls 引数が true に設定されていないことを確認します TLS には自己署名証明書を使用しないでください。etcd は、Kubernetes デプロイメントによってすべての REST API オブジェクトの永続的なストレージとして使用される、可用性の高いキー値ストアです。これらのオブジェクトは本質的に機密性が高いため、認証されていないクライアントが利用できないようにする必要があります。etcd サービスへのアクセスを保護するには、有効な証明書によるクライアント認証を有効にする必要があります。
修正 - ビルドタイム
クベネフィット
APIバージョン: v1
種類: ポッド
メタデータ:
注釈:
スケジューラー.alpha.kubernetes.io/critical-pod: ""
作成タイムスタンプ: null
ラベル:
コンポーネント: etcd
層: コントロールプレーン
名前: etcd
名前空間: kube-system
仕様:
コンテナ:
- 指示：
+ - など
+ - --auto-tls=true
イメージ: k8s.gcr.io/etcd-amd64:3.2.18
イメージプルポリシー: IfNotPresent
livenessProbe:
実行:
指示：
- /bin/sh
- -ec
- ETCDCTL_API=3 etcdctl --endpoints=https://[192.168.22.9]:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt
--cert=/etc/kubernetes/pki/etcd/healthcheck-client.crt --key=/etc/kubernetes/pki/etcd/healthcheck-client.key get foo failureThreshold: 8 initialDelaySeconds: 15 timeoutSeconds: 15 name: etcd-should-fail resources: {} volumeMounts:
- マウントパス: /var/lib/etcd
名前: etcd-data
- マウントパス: /etc/kubernetes/pki/etcd
名前: etcd-certs
ホストネットワーク: true
優先度クラス名: システム クラスタ クリティカル
ボリューム:
- ホストパス:
パス: /var/lib/etcd
タイプ: ディレクトリまたは作成
名前: etcd-data
- ホストパス:
パス: /etc/kubernetes/pki/etcd
タイプ: ディレクトリまたは作成
名前: etcd-certs
状態： {}