이에 대한 피드백을 보내주세요.

API 서버에서 발견된 다음 위반 사항을 모두 수정하세요. a. RotateKubeletServerCertificate 인수가 true로 설정되어 있는지 확인하세요.
api버전: v1
종류: 포드
메타데이터:
creationTimestamp: null
라벨:
구성 요소: kubelet
티어: 제어 평면
이름: kubelet
네임스페이스: kube-system
투기:
컨테이너:
- 명령:
- 쿠베 컨트롤러 매니저
+ - --기능 게이트=RotateKubeletServerCertificate=참
이미지: gcr.io/google_containers/kubelet-amd64:v1.6.0
라이브니스 프로브:
실패 임계값: 8
http 가져오기:
호스트: 127.0.0.1
경로: /healthz
포트: 6443
스킴: HTTPS
초기 지연 초: 15
timeout초: 15
이름: kubelet
자원:
요청:
씨퓨: 250M
볼륨마운트:
- 마운트 경로: /etc/kubernetes/
이름: k8s
읽기 전용: 참
- mountPath: /etc/ssl/certs
이름: 인증서
- mountPath: /etc/pki
이름: pki
호스트 네트워크: true
볼륨:
- 호스트 경로:
경로: /etc/kubernetes
이름: k8s
- 호스트 경로:
경로: /etc/ssl/certs
이름: 인증서
- 호스트 경로:
경로: /etc/pki
이름: pki
b. 입장 제어 플러그인 PodSecurityPolicy가 설정되어 있는지 확인하세요.
감사: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
테스트:
테스트 항목:
- 플래그: "--enable-admission-plugins"
비교하다:
op: 있다
값: "PodSecurityPolicy"
설정: 참
개선: |
설명서를 따르고 환경에 맞게 Pod 보안 정책 객체를 생성하세요.
그런 다음 API 서버 Pod 사양 파일 $apiserverconf를 편집합니다.
마스터 노드에서 --enable-admission-plugins 매개변수를 PodSecurityPolicy를 포함하는 값으로 설정합니다.
--enable-admission-plugins=...,PodSecurityPolicy,...
그런 다음 API 서버를 다시 시작합니다.
득점: 참
c. --kubelet-certificate-authority 인수가 적절하게 설정되었는지 확인하세요.
감사: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
테스트:
테스트 항목:
- 플래그: "--kubelet-certificate-authority"
설정: 참
개선: |
Kubernetes 설명서를 따르고 apiserver와 kubelets 간의 TLS 연결을 설정합니다. 그런 다음 API 서버 pod 사양 파일을 편집합니다.
마스터 노드에서 $apiserverconf를 설정하고 --kubelet-certificate-authority 매개변수를 인증 기관의 인증서 파일 경로로 설정합니다.
--kubelet-인증서-기관=<ca-문자열>
득점: 참
ETCD에 대해 발견된 다음 위반 사항을 모두 수정하세요.
a. --auto-tls 인수가 true로 설정되지 않았는지 확인하십시오.
마스터 노드에서 etcd pod 사양 파일 $etcdconf를 편집하고 --auto-tls 매개변수를 제거하거나 false로 설정합니다. --auto-tls=false b. --peer-auto-tls 인수가 true로 설정되지 않았는지 확인합니다. 마스터 노드에서 etcd pod 사양 파일 $etcdconf를 편집하고 --peer-auto-tls 매개변수를 제거하거나 false로 설정합니다. --peer-auto-tls=false

서비스 계정은 Pod에서 실행되는 프로세스에 대한 ID를 제공합니다.
사용자(인간)가 클러스터에 액세스하면(예: kubectl 사용) apiserver에서 특정 사용자 계정(현재는 클러스터 관리자가 클러스터를 사용자 정의하지 않은 한 일반적으로 admin)으로 인증됩니다. 포드 내부의 컨테이너에 있는 프로세스도 apiserver에 연결할 수 있습니다. 그렇게 할 때 특정 서비스 계정(예: default)으로 인증됩니다.
포드를 생성할 때 서비스 계정을 지정하지 않으면 동일한 네임스페이스의 기본 서비스 계정이 자동으로 할당됩니다. 생성한 포드의 원시 json 또는 yaml을 가져오면(예: kubectl get pods/<podname> -o yaml) spec.serviceAccountName 필드가 자동으로 설정된 것을 볼 수 있습니다.
클러스터 액세스에서 설명한 대로 자동으로 마운트된 서비스 계정 자격 증명을 사용하여 포드 내부에서 API에 액세스할 수 있습니다. 서비스 계정의 API 권한은 사용 중인 권한 부여 플러그인과 정책에 따라 달라집니다.
버전 1.6 이상에서는 서비스 계정에서 automountServiceAccountToken: false를 설정하여 서비스 계정에 대한 API 자격 증명 자동 마운트를 선택 해제할 수 있습니다.
api버전: v1
종류: ServiceAccount
메타데이터:
이름: 빌드 로봇
automountServiceAccountToken: 거짓
...
버전 1.6 이상에서는 특정 Pod에 대한 API 자격 증명 자동 마운트를 선택 해제할 수도 있습니다.
api버전: v1
종류: 포드
메타데이터:
이름: my-pod
투기:
serviceAccountName: 빌드 로봇
automountServiceAccountToken: 거짓
...
둘 다 automountServiceAccountToken 값을 지정하는 경우 Pod 사양이 서비스 계정보다 우선합니다.

쿠버네티스 감사는 클러스터에 대한 보안 관련 연대순 기록 세트를 제공합니다. Kube-apiserver는 감사를 수행합니다. 실행의 각 단계에서 각 요청은 이벤트를 생성하고, 이는 특정 정책에 따라 사전 처리되어 백엔드에 기록됩니다. 정책은 무엇이 기록되는지 결정하고 백엔드는 기록을 유지합니다.
CIS(Center for Internet Security) Kubernetes 벤치마크 제어를 준수하는 일환으로 감사 로그를 구성하는 것이 좋습니다.
다음 cluster.yml 구성을 사용하여 기본적으로 감사 로그를 활성화할 수 있습니다.
서비스:
쿠베 API:
감사 로그:
활성화됨: true
감사 로그가 활성화되면 /etc/kubernetes/audit-policy.yaml에서 기본값을 볼 수 있어야 합니다. 로그 백엔드는 JSONlines 형식의 파일에 감사 이벤트를 기록합니다. 다음 kube-apiserver 플래그를 사용하여 로그 감사 백엔드를 구성할 수 있습니다.
--audit-log-path는 로그 백엔드가 감사 이벤트를 작성하는 데 사용하는 로그 파일 경로를 지정합니다. 이 플래그를 지정하지 않으면 로그 백엔드가 비활성화됩니다. - 표준 출력을 의미합니다.
--audit-log-maxage는 오래된 감사 로그 파일을 보관할 최대 일수를 정의했습니다.
--audit-log-maxbackup은 보관할 감사 로그 파일의 최대 수를 정의합니다.
--audit-log-maxsize는 로테이션되기 전에 감사 로그 파일의 최대 크기를 메가바이트 단위로 정의합니다. 클러스터의 제어 평면이 kube-apiserver를 Pod로 실행하는 경우 정책 파일과 로그 파일의 위치에 hostPath를 마운트하여 감사 레코드가 지속되도록 해야 합니다. 예를 들어:
--감사 정책 파일=/etc/kubernetes/감사 정책.yaml \
--감사 로그 경로=/var/log/audit.log

test-system-role-2-binding이라는 이름의 새 RoleBinding을 생성하고 새로 생성된 Role을 Pod의 ServiceAccount sa-backend에 바인딩합니다.