API サーバーに対して見つかった次の違反をすべて修正します:- a. RotateKubeletServerCertificate 引数が true に設定されていることを確認します。
APIバージョン: v1
種類: ポッド
メタデータ:
作成タイムスタンプ: null
ラベル:
コンポーネント: kubelet
層: コントロールプレーン
名前: キュベレット
名前空間: kube-system
仕様:
コンテナ:
- 指示：
- キューブコントローラーマネージャー
+ - --feature-gates=RotateKubeletServerCertificate=true
イメージ: gcr.io/google_containers/kubelet-amd64:v1.6.0
livenessProbe:
失敗しきい値: 8
httpGet:
ホスト: 127.0.0.1
パス: /healthz
ポート: 6443
スキーム: HTTPS
初期遅延秒数: 15
タイムアウト秒数: 15
名前: キュベレット
リソース：
リクエスト:
CPU: 250m
ボリュームマウント:
- マウントパス: /etc/kubernetes/
名前: k8s
読み取り専用: true
- マウントパス: /etc/ssl/certs
名前: 証明書
- マウントパス: /etc/pki
名前: pki
ホストネットワーク: true
ボリューム:
- ホストパス:
パス: /etc/kubernetes
名前: k8s
- ホストパス:
パス: /etc/ssl/certs
名前: 証明書
- ホストパス:
パス: /etc/pki
名前: pki
b. アドミッション コントロール プラグイン PodSecurityPolicy が設定されていることを確認します。
監査: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
テスト:
テスト項目:
- フラグ: "--enable-admission-plugins"
比較する：
op: 持っている
値: "PodSecurityPolicy"
設定: true
修復: |
ドキュメントに従って、環境に応じて Pod セキュリティ ポリシー オブジェクトを作成します。
次に、APIサーバーポッド仕様ファイル$apiserverconfを編集します。
マスターノードで、--enable-admission-plugins パラメータを PodSecurityPolicy を含む値に設定します。
--enable-admission-plugins=...、PodSecurityPolicy、...
次に、API サーバーを再起動します。
スコア: 真
c. --kubelet-certificate-authority 引数が適切に設定されていることを確認します。
監査: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
テスト:
テスト項目:
- フラグ: "--kubelet-certificate-authority"
設定: true
修復: |
Kubernetesのドキュメントに従って、apiserverとkubelets間のTLS接続を設定します。次に、APIサーバーポッド仕様ファイルを編集します。
マスター ノード上の $apiserverconf で、--kubelet-certificate-authority パラメータを証明機関の証明書ファイルへのパスに設定します。
--kubelet-certificate-authority=<CA 文字列>
スコア: 真
ETCD に対して見つかった以下の違反をすべて修正します:-
a. --auto-tls引数がtrueに設定されていないことを確認します。
マスターノードの etcd ポッド仕様ファイル $etcdconf を編集し、--auto-tls パラメータを削除するか、false に設定します。--auto-tls=false b. --peer-auto-tls 引数が true に設定されていないことを確認します。マスターノードの etcd ポッド仕様ファイル $etcdconf を編集し、--peer-auto-tls パラメータを削除するか、false に設定します。--peer-auto-tls=false