跳转至

0429-k8s-qps-kubernetes上的事件qps标志可以用来限制收集事件的速率


规则ID

  • 0429-k8s-qps

类别

  • container

级别

  • info

兼容版本

  • Linux

说明

  • kubernetes上的事件qps标志可以用来限制收集事件的速率.设置得过低可能导致相关事件没有被记录,但是设置为0可能导致kubernetes上的拒绝服务

扫描频率

  • 0 */30 * * *

理论基础

  • 捕获所有事件而不限制事件创建。事件是安全信息和分析的一个重要来源,它可以确保使用事件数据一致地监控您的环境

风险项

  • 容器安全

审计方法

  • 执行以下命令以验证:
ps -ef | grep kubelet |grep event-qps

补救

  • kubelet启动有两种形式 检查是否有配置文件:/etc/systemd/system/kubelet.service.d/10-kubeadm.conf,如果文件存在 将参数 --event-qps=5 如果文件不存在,则kubelet是以命令行形式启动的,检查kubelet启动参数 -config, 打开文件 检查是否存在参数eventRecordQPS 并设置成 5或者更大即可。

设置完成之后 重启kubelet:

systemctl daemon-reload
systemctl restart kubelet.service

影响

  • 将此参数设置为0可能会导致由于创建过多的事件而导致拒绝服务条件。集群的事件处理和存储系统应该被扩展,以处理预期的事件负载

默认值

  • 默认情况下:--event-qps=5

参考文献

CIS 控制

文档评价

文档内容是否对您有帮助? ×