設定檔適用性:等級 1 - 工作節點
啟用 kubelet 用戶端憑證輪換。
--rotate-certificates 設定會使 kubelet 在現有憑證過期時通過創建新的 CSR 來輪換其客戶端憑證。這種自動定期輪換確保不會因憑證過期而導致停機,從而解決 CIA 安全三元組中的可用性問題。 |
注意此建議僅適用於您讓 kubelet 從 API 伺服器獲取其證書的情況。如果您的 kubelet 證書來自外部授權機構/工具(例如密碼保險箱),則您需要自行處理輪換。
|
|
注意此功能還需要啟用
RotateKubeletClientCertificate 功能閘(自 Kubernetes v1.7 起為預設值) |
|
注意預設情況下,kubelet 用戶端憑證輪換已啟動。
|
稽核
在每個節點上執行以下命令:
ps -ef | grep kubelet
驗證
--rotate-certificates 參數不存在,或設置為 true。如果 --rotate-certificates 參數不存在,請驗證是否有由 --config 指定的 Kubelet 配置文件,該文件不包含 rotateCertificates: false。補救措施
如果使用 Kubelet 配置檔,請編輯檔案以新增行
rotateCertificates: true,或將其完全移除以使用預設值。如果使用命令列參數,請編輯每個工作節點上的 kubelet 服務檔案
/etc/kubernetes/kubelet.conf,並從 KUBELET_CERTIFICATE_ARGS 變數中移除 --rotate-certificates=false 參數。根據您的系統,重新啟動
kubelet服務。例如:systemctl daemon-reload systemctl restart kubelet.service