APIサーバー:
--authorization-mode 引数に RBAC が含まれていることを確認してください
役割ベースのアクセス制御をオンにします。ロールベースのアクセス制御 (RBAC) を使用すると、クラスター内のさまざまなオブジェクトに対してさまざまなエンティティが実行できる操作をきめ細かく制御できます。RBAC 認証モードを使用することをお勧めします。
修正 - ビルド時間
Kubernetes
APIバージョン: v1
種類: ポッド
メタデータ:
作成タイムスタンプ: null
ラベル:
コンポーネント: kube-apiserver
層: コントロールプレーン
名前: kube-apiserver
名前空間: kube-system
仕様:
コンテナ:
- 指図：
+ - kube-apiserver
+ - --authorization-mode=RBAC,ノード
画像: gcr.io/google_containers/kube-apiserver-amd64:v1.6.0
livenessProbe:
失敗しきい値: 8
httpGet:
ホスト: 127.0.0.1
パス: /healthz
ポート: 6443
スキーム: HTTPS
初期遅延秒: 15
タイムアウト秒: 15
名前: kube-apiserver-Should-pass
資力：
リクエスト：
CPU: 250m
ボリュームマウント:
- マウントパス: /etc/kubernetes/
名前：k8s
読み取り専用: true
- マウントパス: /etc/ssl/certs
名前: 証明書
- マウントパス: /etc/pki
名前：ぴき
ホストネットワーク: true
ボリューム:
- ホストパス:
パス: /etc/kubernetes
名前：k8s
- ホストパス:
パス: /etc/ssl/certs
名前: 証明書
- ホストパス:
パス: /etc/pki
名前：ぴき
--authorization-mode 引数にノードが含まれていることを確認してください
修復: マスター ノードで API サーバー ポッド仕様ファイル /etc/kubernetes/manifests/kube-apiserver.yaml を編集し、 --authorization-mode パラメーターを Node を含む値に設定します。
--authorization-mode=ノード、RBAC
監査：
/bin/ps -ef | grep kube-apiserver | grep -v grep
期待される結果：
「ノード、RBAC」には「ノード」があります
--profiling 引数が false に設定されていることを確認します。
修復: マスター ノードで API サーバー ポッド仕様ファイル /etc/kubernetes/manifests/kube-apiserver.yaml を編集し、以下のパラメーターを設定します。
--profiling=false
監査：
/bin/ps -ef | grep kube-apiserver | grep -v grep
期待される結果：
「false」は「false」と同じです
Kubelet に対して見つかった次の違反をすべて修正します。- --anonymous-auth 引数が false に設定されていることを確認します。
修復: Kubelet 構成ファイルを使用している場合は、ファイルを編集して、authentication: anonymous: Enabled を false に設定します。実行可能引数を使用する場合は、各ワーカー ノードで kubelet サービス ファイル /etc/systemd/system/kubelet.service.d/10-kubeadm.conf を編集し、KUBELET_SYSTEM_PODS_ARGS 変数に以下のパラメーターを設定します。
--anonymous-auth=false
システムに基づいて、kubelet サービスを再起動します。例えば：
systemctl デーモンのリロード
systemctl kubelet.service を再起動します
監査：
/bin/ps -fC kubelet
監査構成:
/bin/cat /var/lib/kubelet/config.yaml
期待される結果：
「false」は「false」と同じです
2) --authorization-mode 引数が Webhook に設定されていることを確認します。
監査
ドッカー検査kubelet | jq -e '.[0].Args[] | match("--authorization-mode=Webhook").string' 戻り値: --authorization-mode=Webhook ETCD に対して見つかった次の違反をすべて修正します。--auto-tls 引数が true に設定されていないことを確認してください。TLS に自己署名証明書を使用しないでください。etcd は、Kubernetes デプロイメントですべての REST API オブジェクトの永続ストレージとして使用される、可用性の高いキー値ストアです。これらのオブジェクトは本質的に機密性が高いため、認証されていないクライアントが利用できるようにすべきではありません。etcd サービスへのアクセスを保護するには、有効な証明書によるクライアント認証を有効にする必要があります。
修正 - ビルド時間
Kubernetes
APIバージョン: v1
種類: ポッド
メタデータ:
注釈:
スケジューラー.alpha.kubernetes.io/critical-pod: ""
作成タイムスタンプ: null
ラベル:
コンポーネント: etcd
層: コントロールプレーン
名前: etcd
名前空間: kube-system
仕様:
コンテナ:
- 指図：
+ - etcd
+ - --auto-tls=true
画像: k8s.gcr.io/etcd-amd64:3.2.18
imagePullPolicy: IfNotPresent
livenessProbe:
実行:
指図：
- /bin/sh
- -ec
- ETCDCTL_API=3 etcdctl --endpoints=https://[192.168.22.9]:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt
--cert=/etc/kubernetes/pki/etcd/healthcheck-client.crt --key=/etc/kubernetes/pki/etcd/healthcheck-client.key get foo FailureThreshold: 8InitialDelaySeconds: 15 timeoutSeconds: 15 name: etcd -失敗するはずのリソース: {} volumeMounts:
- マウントパス: /var/lib/etcd
名前: etcd-data
- マウントパス: /etc/kubernetes/pki/etcd
名前: etcd-certs
ホストネットワーク: true
priorityClassName: システムクラスタークリティカル
ボリューム:
- ホストパス:
パス: /var/lib/etcd
タイプ: ディレクトリまたは作成
名前: etcd-data
- ホストパス:
パス: /etc/kubernetes/pki/etcd
タイプ: ディレクトリまたは作成
名前: etcd-certs
スターテス： {}
Explanation:

確認: ポッドを実行して dmesg を実行すると、次のような出力が表示されます。

出力

暗号化構成を使用して、プロバイダー AES-CBC と ID を使用してリソースのシークレットを保護するマニフェストを作成し、保管時のシークレット データを暗号化し、すべてのシークレットが新しい構成で暗号化されるようにします。

[controlplane@cli] $ k ポッドを取得 -n nato -o yaml | grep "画像: "
[controlplane@cli] $ trivy image <イメージ名>
[controlplane@cli] $ k delete pod <vulnerable-pod> -n nato
[desk@cli] $ ssh コントロールノード
[controlplane@cli] $ k ポッドを取得 -n nato
名前の準備完了ステータスが年齢を再開します
アローモラ 1/1 ランニング 0 3分7秒
c3d3 1/1 ランニング 0 2分54秒
ネオンポッド 1/1 実行中 0 2 分 11 秒
トール 1/1 ランニング 0 58 秒
[controlplane@cli] $ k ポッドを取得 -n nato -o yaml | grep "画像: "

[controlplane@cli] $ k delete pod thor -n nato
[controlplane@cli] $ k delete pod neon-pod -n nato 参考: https://github.com/aquasecurity/trivy
[controlplane@cli] $ k delete pod neon-pod -n nato 参考: https://github.com/aquasecurity/trivy