設定檔適用性:等級 1
啟用 kubelet 伺服器憑證輪替。
RotateKubeletServerCertificate 使 kubelet 在啟動其客戶端憑證後請求服務憑證,並在現有憑證過期時旋轉憑證。這種自動定期旋轉確保不會因憑證過期而導致停機,從而解決 CIA 安全三元組中的可用性問題。此建議僅適用於您讓 kubelet 從 API 伺服器獲取其證書的情況。如果您的 kubelet 證書來自外部授權機構/工具(例如密碼保險箱),則您需要自行處理證書的輪換。
 |
注意請參閱 AKS 文件以了解預設值。
|
稽核
Audit Method 1如果使用 Kubelet 配置檔案,請檢查是否有
RotateKubeletServerCertificate 的項目設置為 true。-
SSH到相關節點。
-
在每個節點上執行以下命令以找到適當的 Kubelet 配置檔案:
ps -ef | grep kubelet
輸出應返回類似於--config /etc/kubernetes/kubelet/kubelet-config.json的內容,這是 Kubelet 配置檔案的位置信息。 -
打開 Kubelet 配置檔案:
cat /etc/kubernetes/kubelet/kubelet-config.json
-
驗證
RotateKubeletServerCertificate參數是否存在並設定為true。
如果使用 api configz 端點,請透過從執行 kubelet 的節點提取即時配置,搜尋
"RotateKubeletServerCertificate":true 的狀態。設定本地 Proxy 通訊埠及以下變數,並提供 Proxy 通訊埠號碼和節點名稱:
HOSTNAME_PORT="localhost-and-port-number" NODE_NAME="The-Name-Of-Node-To-Extract-Configuration"
from the output of "kubectl get nodes"kubectl proxy --port=8001 &
export HOSTNAME_PORT=localhost:8001
export NODE_NAME=ip-192.168.31.226.aks.internal
curl -sSL "http://${HOSTNAME_PORT}/api/v1/nodes/${NODE_NAME}/proxy/configz"
補救
Remediation Method 1如果要修改 Kubelet 配置檔案,請編輯
kubelet-config.json 檔案 /etc/kubernetes/kubelet/kubelet-config.json,並將以下參數設為 true:"RotateKubeletServerCertificate":trueRemediation Method 2
如果使用 Kubelet 配置檔案,請編輯檔案將
RotateKubeletServerCertificate 設定為 true。如果使用可執行參數,請在每個工作節點上編輯 kubelet 服務檔案
/etc/systemd/system/kubelet.service.d/10-kubelet-args.conf,並在 KUBELET_ARGS 變數字串的末尾添加以下參數:--rotate-kubelet-server-certificate=trueRemediation Method 3
如果使用 api configz 端點,請透過從執行 kubelet 的節點中提取即時配置,搜尋
"RotateKubeletServerCertificate": 的狀態。在重新配置節點的 Kubelet 在即時叢集中查看詳細的逐步 configmap 程序,然後重新執行來自審核過程的 curl 語句以檢查 kubelet 配置變更:
kubectl proxy --port=8001 &
export HOSTNAME_PORT=localhost:8001
export NODE_NAME=ip-192.168.31.226.aks.internal
curl -sSL "http://${HOSTNAME_PORT}/api/v1/nodes/${NODE_NAME}/proxy/configz"
For all three remediations:根據您的系統,重新啟動 kubelet 服務並檢查狀態:
systemctl daemon-reload systemctl restart kubelet.service systemctl status kubelet -l