プロファイル適用性: レベル1
セキュリティ関連情報は記録されるべきです。Kubeletの設定におけるeventRecordQPSは、イベントが収集される速度を制限し、1秒あたりの最大イベント作成数を設定するために使用できます。これを低く設定しすぎると、関連するイベントが記録されない可能性がありますが、0の無制限設定はkubeletのサービス拒否を引き起こす可能性があります。
イベントをすべて記録し、イベントの作成を制限しないことが重要です。イベントはセキュリティ情報と分析の重要な情報源であり、イベントデータを使用して環境が継続的に監視されることを保証します。
 |
注意GKEのドキュメントでデフォルト値を確認してください。
|
影響
このパラメータを0に設定すると、過剰なイベントが作成されることによりサービス拒否状態が発生する可能性があります。クラスターのイベント処理およびストレージシステムは、予想されるイベント負荷に対応できるようにスケールする必要があります。
監査
各ノードで次のコマンドを実行してください:
sudo grep "eventRecordQPS" /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
引数に設定された値を確認し、クラスタに対して適切なレベルに設定されているかどうかを判断してください。引数が存在しない場合は、
--configで指定されたKubelet設定ファイルがあるか確認し、この場所の値を確認してください。修復
Kubelet設定ファイルを使用する場合は、ファイルを編集して
eventRecordQPS:を適切なレベルに設定してください。コマンドライン引数を使用する場合、各ワーカーノードの kubelet サービスファイル
/etc/systemd/system/kubelet.service.d/10-kubeadm.conf を編集し、KUBELET_SYSTEM_PODS_ARGS 変数に以下のパラメータを設定してください。お使いのシステムに基づいて、
kubeletサービスを再起動してください。例:systemctl daemon-reload systemctl restart kubelet.service