設定檔適用性:等級 1 - 主節點
在控制器管理器上啟用 kubelet 伺服器憑證輪替。
RotateKubeletServerCertificate 使 kubelet 在啟動其客戶端憑證後請求服務憑證,並在現有憑證過期時旋轉憑證。這種自動定期旋轉確保不會因憑證過期而導致停機,從而解決 CIA 安全三元組中的可用性問題。 |
注意此建議僅適用於您允許 kubelet 從 API 伺服器獲取其憑證的情況。如果您的 kubelet 憑證來自外部授權機構/工具(例如密碼保險箱),則需要自行處理憑證輪替。
|
|
注意預設情況下,
RotateKubeletServerCertificate 設定為 "true";此建議會驗證該設定未被停用。 |
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-controller-manager
驗證
RotateKubeletServerCertificate 參數是否存在並設為 true。補救
編輯控制平面節點上的 Controller Manager pod 規範檔案
/etc/kubernetes/manifests/kube-controller-manager.yaml,並將 --feature-gates 參數設置為包含 RotateKubeletServerCertificate=true。--feature-gates=RotateKubeletServerCertificate=true