Profilanwendbarkeit: Stufe 1 - Masterknoten
Legen Sie explizit eine private Schlüsseldatei für Dienstkonten im Controller-Manager
fest.
Um sicherzustellen, dass Schlüssel für Dienstkontotoken bei Bedarf rotiert werden
können, sollte ein separates öffentliches/privates Schlüsselpaar zum Signieren von
Dienstkontotoken verwendet werden. Der private Schlüssel sollte dem Controller-Manager
mit
--service-account-private-key-file entsprechend angegeben werden. |
HinweisStandardmäßig ist
--service-account-private-key-file nicht festgelegt. |
Auswirkung
Sie müssen die Schlüsseldatei sicher aufbewahren und die Schlüssel gemäß der Schlüsselrotation-Richtlinie
Ihrer Organisation rotieren.
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-controller-manager
Überprüfen Sie, ob das Argument
--service-account-private-key-file entsprechend festgelegt ist.Wiederherstellung
Bearbeiten Sie die Controller-Manager-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-controller-manager.yaml auf dem Steuerknoten und setzen Sie den --service-account-private-key-file-Parameter auf die private Schlüsseldatei für Dienstkonten.--service-account-private-key-file=<filename>