Ansichten:
Profilanwendbarkeit: Stufe 1 - Worker-Knoten
Aktivieren Sie die Rotation des Client-Zertifikats für Kubelet.
Die Einstellung --rotate-certificates bewirkt, dass der Kubelet seine Client-Zertifikate durch Erstellen neuer CSRs rotiert, wenn seine bestehenden Anmeldeinformationen ablaufen. Diese automatisierte periodische Rotation stellt sicher, dass es keine Ausfallzeiten aufgrund abgelaufener Zertifikate gibt und somit die Verfügbarkeit im CIA-Sicherheitsdreieck gewährleistet wird.
Hinweis
Hinweis
  • Diese Empfehlung gilt nur, wenn Sie kubelets ihre Zertifikate vom API-Server beziehen lassen. Falls Ihre kubelet-Zertifikate von einer externen Behörde/einem externen Tool (z. B. Vault) stammen, müssen Sie sich selbst um die Rotation kümmern.
  • Diese Funktion erfordert auch, dass das RotateKubeletClientCertificate-Feature-Gate aktiviert ist (was seit Kubernetes v1.7 standardmäßig der Fall ist)
  • Standardmäßig ist die Rotation des Client-Zertifikats für kubelet aktiviert.

Prüfung

Führen Sie den folgenden Befehl auf jedem Knoten aus:
ps -ef | grep kubelet
Überprüfen Sie, dass das Argument RotateKubeletServerCertificate nicht vorhanden ist oder auf true gesetzt ist.
Wenn das Argument RotateKubeletServerCertificate nicht vorhanden ist, überprüfen Sie, ob die Kubelet-Konfigurationsdatei, die durch --config angegeben ist, nicht RotateKubeletServerCertificate: false enthält.

Wiederherstellung

Wenn Sie eine Kubelet-Konfigurationsdatei verwenden, bearbeiten Sie die Datei, um die Zeile rotateCertificates: true hinzuzufügen oder entfernen Sie sie ganz, um den Standardwert zu verwenden.
Wenn Sie Befehlszeilenargumente verwenden, bearbeiten Sie die Kubelet-Dienstdatei /etc/kubernetes/kubelet.conf auf jedem Worker-Knoten und entfernen Sie das Argument --rotate-certificates=false aus der Variable KUBELET_CERTIFICATE_ARGS oder setzen Sie --rotate-certificates=true.
Basierend auf Ihrem System starten Sie den Kubelet-Dienst neu. Zum Beispiel:
systemctl daemon-reload
systemctl restart kubelet.service