Profilanwendbarkeit: Stufe 1 - Masterknoten
Aktivieren Sie die Rotation des kubelet-Serverzertifikats im Controller-Manager.
RotateKubeletServerCertificate veranlasst den Kubelet, sowohl ein Serverzertifikat nach dem Bootstrapping seiner
Client-Anmeldedaten anzufordern als auch das Zertifikat zu rotieren, wenn seine bestehenden
Anmeldedaten ablaufen. Diese automatisierte periodische Rotation stellt sicher, dass
es keine Ausfallzeiten aufgrund abgelaufener Zertifikate gibt und somit die Verfügbarkeit
im CIA-Sicherheitsdreieck gewährleistet wird. |
HinweisDiese Empfehlung gilt nur, wenn Sie kubelets ihre Zertifikate vom API-Server beziehen
lassen. Falls Ihre kubelet-Zertifikate von einer externen Behörde/einem externen Tool
(z. B. Vault) stammen, müssen Sie sich selbst um die Rotation kümmern.
|
|
HinweisStandardmäßig ist
RotateKubeletServerCertificate auf True eingestellt; diese Empfehlung überprüft, dass es nicht deaktiviert wurde. |
Prüfung
Führen Sie den folgenden Befehl auf dem Control Plane-Knoten aus:
ps -ef | grep kube-controller-manager
Überprüfen Sie, ob das Argument
RotateKubeletServerCertificate existiert und auf true gesetzt ist.Wiederherstellung
Bearbeiten Sie die Controller-Manager-Pod-Spezifikationsdatei
/etc/kubernetes/manifests/kube-controller-manager.yaml auf dem Steuerungsebenenknoten und setzen Sie den Parameter --feature-gates, um RotateKubeletServerCertificate=true einzuschließen.--feature-gates=RotateKubeletServerCertificate=true