プロファイル適用性: レベル1マスターノード
etcdキー値ストアを暗号化する。
etcdは、Kubernetesデプロイメントによって使用される高可用性のキー値ストアであり、すべてのREST APIオブジェクトの永続ストレージとして使用されます。これらのオブジェクトは機密性が高いため、漏洩を防ぐために保存時に暗号化する必要があります。
 |
注意デフォルトでは、
--encryption-provider-configは設定されていません。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-apiserver
--encryption-provider-config引数がEncryptionConfigファイルに設定されていることを確認してください。さらに、EncryptionConfigファイルに、特にシークレットを含むすべての必要なリソースがカバーされていることを確認してください。修復
Kubernetesのドキュメントに従って
EncryptionConfigファイルを構成します。次に、マスターノード上のAPIサーバポッド仕様ファイル/etc/kubernetes/manifests/kube-apiserver.yamlを編集し、そのファイルのパスに--encryption-provider-configパラメータを設定します。--encryption-provider-config=</path/to/EncryptionConfig/File>