設定檔適用性:等級 1 - 主節點
明確地為 apiserver 上的服務帳戶設置服務帳戶公鑰文件。
預設情況下,如果未向 apiserver 指定
--service-account-key-file,它將使用來自 TLS 服務憑證的私鑰來驗證服務帳戶令牌。為了確保服務帳戶令牌的密鑰可以根據需要進行輪換,應使用單獨的公/私鑰對來簽署服務帳戶令牌。因此,應使用 --service-account-key-file 將公鑰指定給 apiserver。 |
注意預設情況下,
--service-account-key-file 參數未設置。 |
影響
必須向控制器管理器提供相應的私鑰。您需要安全地維護密鑰文件,並根據您組織的密鑰輪換政策輪換密鑰。
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--service-account-key-file 參數是否存在並設置適當。補救措施
編輯控制平面節點上的 API 伺服器 pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並將 --service-account-key-file 參數設置為服務帳戶的公鑰檔案:--service-account-key-file=<filename>