プロファイル適用性: レベル1 - マスターノード
コントローラーマネージャでkubeletサーバ証明書のローテーションを有効にする。
RotateKubeletServerCertificateは、クライアント認証情報をブートストラップした後にサービング証明書を要求し、既存の認証情報が期限切れになると証明書をローテーションします。この自動定期ローテーションにより、証明書の期限切れによるダウンタイムがなくなり、CIAセキュリティの三要素における可用性が確保されます。 |
注意この推奨事項は、kubeletがAPIサーバから証明書を取得する場合にのみ適用されます。kubeletの証明書が外部の認証機関/ツール (例: Vault) から取得される場合は、証明書の更新を自分で管理する必要があります。
|
|
注意デフォルトでは、
RotateKubeletServerCertificateはTrueに設定されています。この推奨事項は、それが無効化されていないことを確認します。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-controller-manager
RotateKubeletServerCertificate引数が存在し、trueに設定されていることを確認してください。修復
コントロールプレーンノード上のコントローラーマネージャーポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yamlを編集し、--feature-gatesパラメータにRotateKubeletServerCertificate=trueを含めるように設定します。--feature-gates=RotateKubeletServerCertificate=true