プロファイル適用性: レベル1
読み取り専用ポートを無効にする。
Kubeletプロセスは、メインのKubelet APIに加えて読み取り専用のAPIを提供します。この読み取り専用APIには認証されていないアクセスが提供されており、クラスタに関する潜在的に機密性のある情報を取得する可能性があります。
![]() |
注意デフォルト値についてはGKEドキュメントを参照してください。
|
影響
読み取り専用ポートの削除には、それを使用していたサービスをメインのKubelet APIを使用するように再構成する必要があります。
監査
Kubelet設定ファイルを使用している場合、
authentication: anonymous: enabled
が0
に設定されていることを確認してください。- まず、関連するノードにSSH接続します。
- 各ノードで次のコマンドを実行して、適切なKubelet設定ファイルを見つけてください。
ps -ef | grep kubelet
- 上記のコマンドの出力は、Kubeletの設定ファイルの場所である
--config /etc/kubernetes/kubelet/kubelet-config.json
に類似したものを返すはずです。 - Kubeletの設定ファイルを開く:
cat /etc/kubernetes/kubelet/kubelet-config.json
--read-only-port
引数が存在し、0
に設定されていることを確認してください。--read-only-port
引数が存在しない場合は、--config
で指定されたKubelet設定ファイルがあることを確認してください。- ファイルに
readOnlyPort
エントリがある場合、それが0
に設定されていることを確認してください。
修復
Kubeletの設定ファイルを変更する場合、kubelet-config.jsonファイル
/etc/kubernetes/kubelet/kubelet-config.json
を編集し、以下のパラメータを0
に設定してください。"readOnlyPort": 0
実行可能な引数を使用する場合、各ワーカーノードのkubeletサービスファイル
/etc/systemd/system/kubelet.service.d/10-kubelet-args.conf
を編集し、KUBELET_ARGS
変数文字列の末尾に以下のパラメータを追加してください。--read-only-port=0
各修復について:
お使いのシステムに基づいて、
kubelet
サービスを再起動し、ステータスを確認してください。systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l