檢視次數:
設定檔適用性:等級 1 - 工作節點
啟用 kubelet 用戶端憑證輪換。
--rotate-certificates 設定會使 kubelet 在現有憑證過期時透過創建新的 CSR 來輪換其客戶端憑證。這種自動定期輪換確保不會因憑證過期而導致停機,從而解決 CIA 安全三元組中的可用性問題。
注意
注意
  • 此建議僅適用於您允許 kubelet 從 API 伺服器獲取其憑證的情況。如果您的 kubelet 憑證來自外部授權機構/工具(例如密碼保險箱),則您需要自行處理憑證的輪換。
  • 此功能還需要啟用 RotateKubeletClientCertificate 功能閘(自 Kubernetes v1.7 起為預設啟用)
  • 預設情況下,kubelet 用戶端憑證輪換已啟動。

稽核

在每個節點上執行下列命令:
ps -ef | grep kubelet
確認 RotateKubeletServerCertificate 參數不存在,或設定為 true。
如果沒有 RotateKubeletServerCertificate 參數,請確認如果有透過 --config 指定的 Kubelet 配置檔案,該檔案不包含 RotateKubeletServerCertificate: false

補救

如果使用 Kubelet 配置檔,請編輯該檔案以新增行 rotateCertificates: true,或將其刪除以使用預設值。
如果使用命令列參數,請編輯每個工作節點上的 kubelet 服務檔案 /etc/kubernetes/kubelet.conf,並從 KUBELET_CERTIFICATE_ARGS 變數中移除 --rotate-certificates=false 參數,或設定為 --rotate-certificates=true
根據您系統的情況,重新啟動 kubelet 服務。例如:
systemctl daemon-reload
systemctl restart kubelet.service