Profilanwendbarkeit: Stufe 1 - Masterknoten
Aktivieren Sie die Rotation des kubelet-Serverzertifikats im Controller-Manager.
RotateKubeletServerCertificate veranlasst den Kubelet, sowohl ein Dienstzertifikat nach dem Bootstrapping seiner
Client-Anmeldeinformationen anzufordern als auch das Zertifikat zu rotieren, wenn
seine bestehenden Anmeldeinformationen ablaufen. Diese automatisierte periodische
Rotation stellt sicher, dass es keine Ausfallzeiten aufgrund abgelaufener Zertifikate
gibt und somit die Verfügbarkeit im CIA-Sicherheitsdreieck gewährleistet wird. |
HinweisDiese Empfehlung gilt nur, wenn Sie kubelets ihre Zertifikate vom API-Server beziehen
lassen. Falls Ihre kubelet-Zertifikate von einer externen Autorität/Tool (z.B. Vault)
stammen, müssen Sie sich selbst um die Rotation kümmern.
|
|
HinweisStandardmäßig ist
RotateKubeletServerCertificate auf True eingestellt; diese Empfehlung überprüft, dass es nicht deaktiviert wurde. |
Prüfung
Führen Sie den folgenden Befehl auf dem Steuerungsebenenknoten aus:
ps -ef | grep kube-controller-manager
Überprüfen Sie, ob das Argument
RotateKubeletServerCertificate existiert und auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die Controller-Manager-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-controller-manager.yaml auf dem Steuerungsebenenknoten und setzen Sie den Parameter --feature-gates, um RotateKubeletServerCertificate=true einzuschließen.--feature-gates=RotateKubeletServerCertificate=true