Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Aktivieren Sie die Rotation des kubelet Client-Zertifikats.
Die Einstellung
--rotate-certificates bewirkt, dass der Kubelet seine Client-Zertifikate durch das Erstellen neuer CSRs
rotiert, wenn seine bestehenden Anmeldeinformationen ablaufen. Diese automatisierte
periodische Rotation stellt sicher, dass es keine Ausfallzeiten aufgrund abgelaufener
Zertifikate gibt und somit die Verfügbarkeit im CIA-Sicherheitsdreieck gewährleistet
wird. |
HinweisDiese Empfehlung gilt nur, wenn Sie kubelets ihre Zertifikate vom API-Server beziehen
lassen. Falls Ihre kubelet-Zertifikate von einer externen Behörde/Tool (z.B. Vault)
stammen, müssen Sie sich selbst um die Rotation kümmern.
|
|
HinweisDiese Funktion erfordert auch, dass das
RotateKubeletClientCertificate-Feature-Gate aktiviert ist (was seit Kubernetes v1.7 standardmäßig der Fall ist) |
|
HinweisStandardmäßig ist die Rotation des kubelet Client-Zertifikats aktiviert.
|
Prüfung
Führen Sie den folgenden Befehl auf jedem Knoten aus:
ps -ef | grep kubelet
Überprüfen Sie, dass das Argument
--rotate-certificates nicht vorhanden ist oder auf true gesetzt ist. Wenn das Argument --rotate-certificates nicht vorhanden ist, überprüfen Sie, ob, falls eine Kubelet-Konfigurationsdatei durch
--config angegeben ist, diese Datei nicht rotateCertificates: false enthält.Wiederherstellung
Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um
die Zeile
rotateCertificates: true hinzuzufügen oder sie ganz zu entfernen, um den Standardwert zu verwenden.Wenn Sie Befehlszeilenargumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei
/etc/kubernetes/kubelet.conf auf jedem Worker-Knoten und entfernen Sie das Argument --rotate-certificates=false aus der Variablen KUBELET_CERTIFICATE_ARGS.Basierend auf Ihrem System starten Sie den
kubelet-Dienst neu. Zum Beispiel:systemctl daemon-reload systemctl restart kubelet.service