ビュー:
プロファイル適用性: レベル1
kubeletが実行中の場合、そのkubeconfigファイルの所有者がroot:rootに設定されていることを確認してください。
kubeletのkubeconfigファイルは、ワーカーノードのkubeletサービスのさまざまなパラメータを制御します。ファイルの整合性を維持するために、そのファイルの所有権を設定する必要があります。ファイルはroot:rootが所有する必要があります。
注意
注意
Azure AKS のドキュメントでデフォルト値を確認してください。

監査

Method 1
  1. ワーカーノードにSSH接続します。
  2. Kubeletサービスが実行中かどうかを確認するには、次のコマンドを入力してください:
    sudo systemctl status kubelet
    出力はActive: active (running) since..を返す必要があります。
  3. 各ノードで次のコマンドを実行して、適切なkubeconfigファイルを見つけてください。
    ps -ef | grep kubelet
    出力は、kubeconfigファイルの場所を示す--kubeconfig /var/lib/kubelet/kubeconfigに類似したものを返す必要があります。
  4. このコマンドを実行してkubeconfigファイルの所有権を取得します:
    stat -c %U:%G /var/lib/kubelet/kubeconfig
  5. ファイルが指定されて存在する場合、所有者がroot:rootであることを確認してください。
Method 2
特権ポッドを作成して実行
  1. ホストのファイルシステムにアクセスするために十分な特権を持つポッドを実行します。これを行うには、hostPathボリュームを使用してノードのファイルシステムをポッドにマウントするポッドをデプロイします。
    ホストのルートをポッド内の/hostにマウントするシンプルなポッド定義の例:
           apiVersion: v1
       kind: Pod
       metadata:
       name: file-check
       spec:
       volumes:
       - name: host-root
       hostPath:
       path: /
       type: Directory
       containers:
       - name: nsenter
       image: busybox
       command: ["sleep", "3600"]
       volumeMounts:
       - name: host-root
       mountPath: /host
       securityContext:
       privileged: true
  2. これをファイル (例: file-check-pod.yaml) に保存し、ポッドを作成してください。
    kubectl apply -f file-check-pod.yaml
  3. ポッドが実行されたら、ノード上のファイル所有権を確認するためにexecでアクセスしてください。
    kubectl exec -it file-check -- sh
  4. 現在、ポッド内のシェルにいますが、/hostディレクトリを通じてノードのファイルシステムにアクセスし、ファイルの所有権を確認できます。
    ls -l /host/var/lib/kubelet/kubeconfig
  5. ファイルが指定されて存在する場合、所有権がroot rootであることを確認してください。

修復

各ワーカーノードで、システム上のファイルの場所に基づいて以下のコマンドを実行してください。
chown root:root <kubeconfig file>