NodeRestriction

쿠버네티스 보안설정 옵션 중 하나

워커노드에서 config를 사용해 마스터노드처럼 kubectl을 사용할 수 있음

이러한 상황에서 워커노드는 lable를 수정할 수 있게 되는데 label을 수정하게 되면 보안적으로 위험함 ( ex: label을 가진 노드에만 파드를 배포할 수 있는 설정이 있는데 이걸 수정하면 파드 배포가 제대로 이루어지지 않을 수 있음 )

대비하기 위해 node-restriction.kubernetes.io 을 사용

설정 시, 다른 노드의 레이블에 대해 수정을 할 수 없게 만듬 (node01에서 작업한다면 node01의 labels만 설정할 수 있음)

KISA 쿠버네티스 보안취약점 가이드

출처 : https://isms.kisa.or.kr/main/csap/notice/?boardId=bbs_0000000000000004&mode=view&cntId=85

보안취약점 가이드에도 있는 것을 확인 할 수 있음

설정법

vi ~/kube-apiserver.yaml

- --enable-admission-plugins=NodeRestriction