プロファイル適用性: レベル 1 - マスターノード
コントローラーマネージャーでkubeletサーバー証明書のローテーションを有効にする。
RotateKubeletServerCertificate は、kubelet がクライアント認証情報のブートストラップ後にサービング証明書を要求し、既存の認証情報が期限切れになると証明書をローテーションするようにします。この自動定期ローテーションにより、証明書の期限切れによるダウンタイムが発生せず、CIAセキュリティの三要素における可用性が確保されます。 |
注意この推奨事項は、kubelet が API サーバーから証明書を取得する場合にのみ適用されます。kubelet の証明書が外部の認証機関/ツール(例: Vault)から取得される場合は、自分でローテーションを管理する必要があります。
|
|
注意デフォルトでは、
RotateKubeletServerCertificate は True に設定されています。この推奨事項は、それが無効になっていないことを確認します。 |
監査
コントロールプレーンノードで次のコマンドを実行します:
ps -ef | grep kube-controller-manager
RotateKubeletServerCertificate 引数が存在し、true に設定されていることを確認してください。修復
コントロールプレーンノードの Controller Manager ポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yaml を編集し、--feature-gates パラメータに RotateKubeletServerCertificate=true を含めるように設定します。--feature-gates=RotateKubeletServerCertificate=true