このドキュメントでは、Google Distributed Cloud が CIS Ubuntu Benchmark ベンチマークに準拠しているレベルについて説明します。
ベンチマークにアクセスする
CIS Ubuntu Benchmark は CIS ウェブサイトで入手できます。
構成プロファイル
CIS Ubuntu Benchmark のドキュメントでは、構成プロファイルについて確認できます。Google Distributed Cloud で使用される Ubuntu イメージは、Level 2 - Server のプロファイルに対応するように強化されています。
Google Distributed Cloud に対する評価
Google Distributed Cloud では、次の値を使用して Ubuntu 推奨事項のステータスを表しています。
ステータス | 説明 |
---|---|
Pass | ベンチマークの推奨事項を遵守している。 |
失敗 | ベンチマークの推奨事項を遵守していない。 |
同等の統制 | ベンチマーク推奨事項の条件には完全に準拠していないが、Google Distributed Cloud の他のメカニズムが同等のセキュリティ統制を提供する。 |
環境に依存 | Google Distributed Cloud では、ベンチマークの推奨事項に関連する項目は構成されていない。ご利用の構成により、環境が推奨事項を遵守しているかどうかが決まる。 |
Google Distributed Cloud のステータス
Google Distributed Cloud で使用される Ubuntu イメージは、CIS Level 2 - Server のプロファイルを満たすように強化されています。次の表は、Google Distributed Cloud のコンポーネントが特定の推奨事項に合格しなかった理由を示しています。
1.30
バージョン
このセクションでは、次のバージョンを参照します。
Google Distributed Cloud のバージョン | Ubuntu のバージョン | CIS Ubuntu Benchmark のバージョン | CIS レベル |
---|---|---|---|
1.30 | 22.04 LTS | v1.0.0 | Level 2 Server |
Google Distributed Cloud のステータス
Google Distributed Cloud で使用される Ubuntu イメージは、CIS Level 2 - Server のプロファイルを満たすように強化されています。次の表は、Google Distributed Cloud のコンポーネントが特定の推奨事項に合格しなかった理由を示しています。
# | 推奨事項 | ステータス | 理由 | 影響を受けるコンポーネント |
---|---|---|---|---|
1.1.2.1 | /tmp が別のパーティションに存在する | 失敗 | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.3.1 | /var が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.4.1 | /var/tmp が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.5.1 | /var/log が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.6.1 | /var/log/audit が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.7.1 | /home が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.4.1 | grub2 でブートローダーのパスワードを設定する | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.4.3 | シングル ユーザー モードで認証が必要であることを確認する | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
2.3.6 | rpcbind パッケージをアンインストールする | 失敗 | rpcbind が、デフォルトでは有効になっていませんが、Canonical のクラウド イメージにインストールされています。このルールではインストールされていないことが求められるため、失敗します | すべてのクラスタノード、 管理ワークステーション、 Seesaw |
3.3.7 | カーネル パラメータを有効にし、すべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 環境に依存 | 非同期ルーティングとリバースパス開始は、クラスタの負荷分散を提供するための要件です。 | すべてのクラスタノード、Seesaw |
3.5.2.6 | ループバック トラフィックの nftables 構成を設定する | 修正しない | Anthos Network がこのルールの影響を受けました。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
3.5.2.8 | nftables のデフォルトの拒否ファイアウォール ポリシーを使用する | 環境に依存 | Google Distributed Cloud は、適切なファイアウォール保護を使用してプライベート ネットワークにデプロイすることをおすすめします。必要なファイアウォール ルールについてはこちらをご覧ください。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
4.2.3 | ログファイルの権限を確認する | 失敗 | 多くのサービスでは、ログファイルを書き込むためのグループが必要になることがあるため、この特定のテストは制限が多すぎ、また非現実的です。この項目は今後のベンチマークで削除される可能性があります。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.2.18 | ユーザーの SSH アクセスを制限する | 環境に依存 | デフォルトでは構成されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.3.4 | 権限昇格でユーザーを再認証する - sudo | 環境に依存 | デフォルトでは構成されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.5.1.2 | パスワードの最大使用期間を設定する | 同等の統制 | Google Distributed Cloud の VM は、ユーザー ログインにパスワードを使用せず、SSH 認証鍵を使用します | すべてのクラスタノード |
6.1.10 | すべてのファイルの所有者がユーザーである | 不合格 | 権限がデフォルトのままになっています。 | すべてのクラスタノード |
1.29
バージョン
このセクションでは、次のバージョンを参照します。
Google Distributed Cloud のバージョン | Ubuntu のバージョン | CIS Ubuntu Benchmark のバージョン | CIS レベル |
---|---|---|---|
1.29 | 22.04 LTS | v1.0.0 | Level 2 Server |
Google Distributed Cloud のステータス
Google Distributed Cloud で使用される Ubuntu イメージは、CIS Level 2 - Server のプロファイルを満たすように強化されています。次の表は、Google Distributed Cloud のコンポーネントが特定の推奨事項に合格しなかった理由を示しています。
# | 推奨事項 | ステータス | 理由 | 影響を受けるコンポーネント |
---|---|---|---|---|
1.1.2.1 | /tmp が別のパーティションに存在する | 失敗 | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.3.1 | /var が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.4.1 | /var/tmp が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.5.1 | /var/log が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.6.1 | /var/log/audit が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.7.1 | /home が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.4.1 | grub2 でブートローダーのパスワードを設定する | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.4.3 | シングル ユーザー モードで認証が必要であることを確認する | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
2.3.6 | rpcbind パッケージをアンインストールする | 失敗 | rpcbind が、デフォルトでは有効になっていませんが、Canonical のクラウド イメージにインストールされています。このルールではインストールされていないことが求められるため、失敗します | すべてのクラスタノード、 管理ワークステーション、 Seesaw |
3.3.7 | カーネル パラメータを有効にし、すべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 環境に依存 | 非同期ルーティングとリバースパス開始は、クラスタの負荷分散を提供するための要件です。 | 管理以外のマスターノード、Seesaw |
3.5.2.6 | ループバック トラフィックの nftables 構成を設定する | 修正しない | Anthos Network がこのルールの影響を受けました。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
3.5.2.8 | nftables のデフォルトの拒否ファイアウォール ポリシーを使用する | 環境に依存 | Google Distributed Cloud は、適切なファイアウォール保護を使用してプライベート ネットワークにデプロイすることをおすすめします。必要なファイアウォール ルールについてはこちらをご覧ください。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
4.2.3 | ログファイルの権限を確認する | 失敗 | 多くのサービスでは、ログファイルを書き込むためのグループが必要になることがあるため、この特定のテストは制限が多すぎ、また非現実的です。この項目は今後のベンチマークで削除される可能性があります。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.2.18 | ユーザーの SSH アクセスを制限する | 環境に依存 | デフォルトでは構成されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.3.4 | 権限昇格でユーザーを再認証する - sudo | 環境に依存 | デフォルトでは構成されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.5.1.2 | パスワードの最大使用期間を設定する | 同等の統制 | Google Distributed Cloud の VM は、ユーザー ログインにパスワードを使用せず、SSH 認証鍵を使用します | すべてのクラスタノード |
6.1.10 | すべてのファイルの所有者がユーザーである | 不合格 | 権限がデフォルトのままになっています。 | すべてのクラスタノード |
1.28
バージョン
このセクションでは、次のバージョンを参照します。
Google Distributed Cloud のバージョン | Ubuntu のバージョン | CIS Ubuntu Benchmark のバージョン | CIS レベル |
---|---|---|---|
1.28 | 22.04 LTS | v1.0.0 | Level 2 Server |
Google Distributed Cloud のステータス
Google Distributed Cloud で使用される Ubuntu イメージは、CIS Level 2 - Server のプロファイルを満たすように強化されています。次の表は、Google Distributed Cloud のコンポーネントが特定の推奨事項に合格しなかった理由を示しています。
# | 推奨事項 | ステータス | 理由 | 影響を受けるコンポーネント |
---|---|---|---|---|
1.1.2.1 | /tmp が別のパーティションに存在する | 失敗 | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.3.1 | /var が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.4.1 | /var/tmp が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.5.1 | /var/log が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.6.1 | /var/log/audit が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.7.1 | /home が別のパーティションに存在する | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.4.1 | grub2 でブートローダーのパスワードを設定する | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.4.3 | シングル ユーザー モードで認証が必要であることを確認する | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
2.3.6 | rpcbind パッケージをアンインストールする | 失敗 | rpcbind が、デフォルトでは有効になっていませんが、Canonical のクラウド イメージにインストールされています。このルールではインストールされていないことが求められるため、失敗します | すべてのクラスタノード、 管理ワークステーション、 Seesaw |
3.3.7 | カーネル パラメータを有効にし、すべての IPv4 インターフェースでリバースパス フィルタリングを使用する | 環境に依存 | 非同期ルーティングとリバースパス開始は、クラスタの負荷分散を提供するための要件です。 | 管理以外のマスターノード、Seesaw |
3.5.2.6 | ループバック トラフィックの nftables 構成を設定する | 修正しない | Anthos Network がこのルールの影響を受けました。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
3.5.2.8 | nftables のデフォルトの拒否ファイアウォール ポリシーを使用する | 環境に依存 | Google Distributed Cloud は、適切なファイアウォール保護を使用してプライベート ネットワークにデプロイすることをおすすめします。必要なファイアウォール ルールについてはこちらをご覧ください。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
4.2.3 | ログファイルの権限を確認する | 失敗 | 多くのサービスでは、ログファイルを書き込むためのグループが必要になることがあるため、この特定のテストは制限が多すぎ、また非現実的です。この項目は今後のベンチマークで削除される可能性があります。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.2.18 | ユーザーの SSH アクセスを制限する | 環境に依存 | デフォルトでは構成されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.3.4 | 権限昇格でユーザーを再認証する - sudo | 環境に依存 | デフォルトでは構成されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.5.1.2 | パスワードの最大使用期間を設定する | 同等の統制 | Google Distributed Cloud の VM は、ユーザー ログインにパスワードを使用せず、SSH 認証鍵を使用します | すべてのクラスタノード |
6.1.10 | すべてのファイルの所有者がユーザーである | 不合格 | 権限がデフォルトのままになっています。 | すべてのクラスタノード |
1.16
バージョン
このセクションでは、次のバージョンを参照します。
Google Distributed Cloud のバージョン | Ubuntu のバージョン | CIS Ubuntu Benchmark のバージョン | CIS レベル |
---|---|---|---|
1.16 | 20.04 LTS | v1.0.0 | Level 2 Server |
Google Distributed Cloud のステータス
Google Distributed Cloud で使用される Ubuntu イメージは、CIS Level 2 - Server のプロファイルを満たすように強化されています。次の表は、Google Distributed Cloud のコンポーネントが特定の推奨事項に合格しなかった理由を示しています。
# | 推奨事項 | スコア付き / スコアなし | ステータス | 理由 | 影響を受けるコンポーネント |
---|---|---|---|---|---|
1.1.2 | /tmp が構成されていることを確認する | スコア付き | 失敗 | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.10 | /var 用の別のパーティションが存在することを確認する | スコア付き | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.11 | /var/tmp 用の別のパーティションが存在することを確認する | スコア付き | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.15 | /var/log 用の別のパーティションが存在することを確認する | スコア付き | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.16 | /var/log/audit 用の別のパーティションが存在することを確認する | スコア付き | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.17 | /home 用の別のパーティションが存在することを確認する | スコア付き | 修正しない | 現時点では、Canonical によりクラウド イメージ パーティションが変更される予定はありません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.1.22 | すべてのグローバルに書き込み可能なディレクトリにスティッキー ビットが設定されていることを確認する | スコア付き | 失敗 | これにより、Anthos の機能やそのサービスが中断される可能性があり、デフォルトでは有効になっていません。 | すべてのクラスタノード、管理ワークステーション |
1.5.1 | ブートローダー構成の権限が構成されていることを確認する | スコア付き | 失敗 | 権限がデフォルトのままになっています。 | すべてのクラスタノード、Seesaw |
1.5.2 | ブートローダーのパスワードが設定されていることを確認する | スコア付き | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
1.5.3 | シングル ユーザー モードで認証が必要であることを確認する | スコア付き | 環境に依存 | Ubuntu クラウド イメージには root パスワードが設定されていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
2.3.6 | RPC がインストールされていないことを確認する | スコア付き | 失敗 | rpcbind が、デフォルトでは有効になっていませんが、Canonical のクラウド イメージにインストールされています。このルールではインストールされていないことが求められるため、失敗します | すべてのクラスタノード |
3.2.2 | IP 転送が無効になっていることを確認する | スコア付き | 失敗 | Kubernetes(GKE)がトラフィックを正しく動作させ、ルーティングするために、IP 転送は必須です。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
3.2.7 | リバースパス フィルタリングが有効になっていることを確認する | スコア付き | 環境に依存 | 非同期ルーティングとリバースパス開始は、クラスタの負荷分散を提供するための要件です。 | Seesaw |
3.5.3.2.1 | デフォルトの拒否ファイアウォール ポリシーを確認する | スコア付き | 環境に依存 | Google Distributed Cloud は、適切なファイアウォール保護を使用してプライベート ネットワークにデプロイすることをおすすめします。必要なファイアウォール ルールについてはこちらをご覧ください。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
3.5.3.2.2 | ループバック トラフィックが構成されていることを確認する | スコア付き | 環境に依存 | ループバック インターフェースの用途は、使用される特定の負荷分散機能に制限されます。 | Seesaw |
3.5.3.2.4 | 開放しているポートすべてにファイアウォール ルールが存在することを確認する | スコアなし | 環境に依存 | Google Distributed Cloud は、適切なファイアウォール保護を使用してプライベート ネットワークにデプロイすることをおすすめします。必要なファイアウォール ルールについてはこちらをご覧ください。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
3.5.3.3.1 | IPv6 のデフォルトの拒否ファイアウォール ポリシーを確認する | スコア付き | 環境に依存 | Google Distributed Cloud は、適切なファイアウォール保護を使用してプライベート ネットワークにデプロイすることをおすすめします。必要なファイアウォール ルールについてはこちらをご覧ください。 また、Anthos は、GA サポートにおいて IPv6 の要件を満たしていません。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
3.5.3.3.2 | IPv6 のループバック トラフィックが構成されていることを確認する | スコア付き | 環境に依存 | Anthos は、GA サポートにおいて IPv6 の要件を満たしていません。 | 管理コントロール プレーン、Seesaw |
4.1.1.3 | auditd よりも前に開始されるプロセスの監査が有効になっていることを確認する | スコア付き | 失敗 | ビルドプロセスに関する既知の問題により失敗と報告されますが、これは誤ったアラームと見なされます。この問題は今後修正される予定です。 | すべてのクラスタノード、Seesaw |
4.1.11 | 特権コマンドの使用が収集されることを確認する | スコア付き | 失敗 | 一部のバイナリはランタイムにインストールされるため、ランタイムの修正が必要です。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
4.2.1.5 | リモートログのホストにログを送信するように rsyslog が構成されていることを確認する | スコア付き | 環境に依存 | 現在、Google Distributed Cloud はすべての journald ログをシステムサービスから収集します。これらのログは「k8s_node」下で確認できます。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
4.2.3 | すべてのログファイルの権限が構成されていることを確認する | スコア付き | 失敗 | 多くのサービスでは、ログファイルを書き込むためのグループが必要になることがあるため、この特定のテストは制限が多すぎ、また非現実的です。この項目は今後のベンチマークで削除される可能性があります。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
4.4 | logrotate によって適切な権限が割り当てられるようにする | スコア付き | 失敗 | このルールに準拠すると、現在のロギング機能に影響する可能性があります | すべてのクラスタノード、Seesaw |
5.2.18 | SSH アクセスが制限されていることを確認する | スコア付き | 環境に依存 | デフォルトでは構成されていません。特定の要件に合わせて構成できます。 | すべてのクラスタノード、管理ワークステーション、Seesaw |
5.2.20 | SSH AllowTcpForwarding が無効であることを確認する | スコア付き | 失敗 | このルールに準拠すると、現在の SSH トンネル機能に影響する可能性があります | すべてのクラスタノード |
5.4.1.1 | パスワードの有効期限を 365 日以内にする | スコア付き | 同等の統制 | Google Distributed Cloud の VM は、ユーザー ログインにパスワードを使用せず、SSH 認証鍵を使用します | すべてのクラスタノード |
6.1.10 | グローバルに書き込み可能なファイルがないことを確認する | スコア付き | 失敗 | 権限がデフォルトのままになっています。 | すべてのクラスタノード |
6.1.11 | 未所有ファイルやディレクトリが存在しないことを確認する | スコア付き | 失敗 | 権限がデフォルトのままになっています。 | すべてのクラスタノード |
6.1.12 | グループ化されていないファイルやディレクトリが存在しないことを確認する | スコア付き | 失敗 | 権限がデフォルトのままになっています。 | すべてのクラスタノード |
6.2.7 | ユーザーのドットファイルがグループまたはグローバルに書き込み可能ではないことを確認する | スコア付き | 失敗 | Ubuntu のデフォルト設定では、互換性のためにドットファイルのグループ権限が許可されています。 | 管理ワークステーション |
AIDE cron ジョブを構成する
AIDE は、CIS L1 Server ベンチマーク 1.4 Filesystem Integrity Checking
に準拠していることを確認するファイル整合性チェックツールです。Google Distributed Cloud では、AIDE プロセスによってリソース使用率が高い問題が引き起こされています。
リソースの問題を防ぐため、ノードの AIDE プロセスはデフォルトで無効になっています。これは、CIS L1 Server ベンチマーク 1.4.2(Ensure
filesystem integrity is regularly checked.
)への準拠に影響を与えます。
AIDE cron ジョブの実行を有効にする場合は、次の手順で AIDE を再度有効にします。
DaemonSet を作成します。
DaemonSet のマニフェストを次に示します。
apiVersion: apps/v1 kind: DaemonSet metadata: name: enable-aide-pool1 spec: selector: matchLabels: app: enable-aide-pool1 template: metadata: labels: app: enable-aide-pool1 spec: hostIPC: true hostPID: true nodeSelector: cloud.google.com/gke-nodepool: pool-1 containers: - name: update-audit-rule image: ubuntu command: ["chroot", "/host", "bash", "-c"] args: - | set -x while true; do # change daily cronjob schedule minute=30;hour=5 sed -E "s/([0-9]+ [0-9]+)(.*run-parts --report \/etc\/cron.daily.*)/$minute $hour\2/g" -i /etc/crontab # enable aide chmod 755 /etc/cron.daily/aide sleep 3600 done volumeMounts: - name: host mountPath: /host securityContext: privileged: true volumes: - name: host hostPath: path: /
上のマニフェストでは、次のようになっています。
AIDE cron ジョブは、nodeSelector
cloud.google.com/gke-nodepool: pool-1
で指定されたノードプールpool-1
でのみ実行されます。nodeSelector
フィールドの下にプールを指定することで、AIDE プロセスを、必要とする数のノードプールで実行するように構成できます。異なるノードプールで同じ cron ジョブ スケジュールを実行するには、nodeSelector
フィールドを削除します。ただし、ホストリソースの競合を回避するために、個別のスケジュールを維持することをおすすめします。cron ジョブは、構成
minute=30;hour=5
で指定されているとおり、毎日午前 5 時 30 分に実行されるようにスケジュール設定されます。AIDE cron ジョブには、必要に応じて異なるスケジュールを構成できます。
このマニフェストを
enable-aide.yaml
という名前のファイルにコピーして DaemonSet を作成します。kubectl apply --kubeconfig USER_CLUSTER_KUBECONFIG -f enable-aide.yaml
USER_CLUSTER_KUBECONFIG は、ユーザー クラスタの kubeconfig ファイルのパスです。