Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Aktivieren Sie die Rotation des Client-Zertifikats für kubelet.
Die Einstellung
--rotate-certificates bewirkt, dass der Kubelet seine Client-Zertifikate durch das Erstellen neuer CSRs
rotiert, wenn seine bestehenden Anmeldeinformationen ablaufen. Diese automatisierte
periodische Rotation stellt sicher, dass es keine Ausfallzeiten aufgrund abgelaufener
Zertifikate gibt und somit die Verfügbarkeit im CIA-Sicherheitsdreieck gewährleistet
wird. |
HinweisDiese Empfehlung gilt nur, wenn Sie kubelets ihre Zertifikate vom API-Server beziehen
lassen. Falls Ihre kubelet-Zertifikate von einer externen Behörde/einem externen Tool
(z. B. Vault) stammen, müssen Sie sich selbst um die Rotation kümmern.
|
|
HinweisDiese Funktion erfordert auch, dass das
RotateKubeletClientCertificate-Feature-Gate aktiviert ist (was seit Kubernetes v1.7 standardmäßig der Fall ist) |
|
HinweisStandardmäßig ist die Rotation des Client-Zertifikats für kubelet aktiviert.
|
Prüfung
Führen Sie den folgenden Befehl auf jedem Knoten aus:
ps -ef | grep kubelet
Überprüfen Sie, ob das Argument
--rotate-certificates nicht vorhanden ist oder auf true gesetzt ist. Wenn das Argument --rotate-certificates nicht vorhanden ist, überprüfen Sie, ob eine Kubelet-Konfigurationsdatei durch --config angegeben ist und ob diese Datei rotateCertificates: false nicht enthält.Wiederherstellung
Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um
die Zeile
rotateCertificates: true hinzuzufügen oder entfernen Sie sie ganz, um den Standardwert zu verwenden.Wenn Sie Befehlszeilenargumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei
/etc/kubernetes/kubelet.conf auf jedem Worker-Knoten und entfernen Sie das Argument --rotate-certificates=false aus der Variablen KUBELET_CERTIFICATE_ARGS.Basierend auf Ihrem System starten Sie den
kubelet-Dienst neu. Zum Beispiel:systemctl daemon-reload systemctl restart kubelet.service