設定檔適用性:等級 1 - 主節點
在 apiserver 上為服務帳戶明確設定服務帳戶公鑰檔案。
預設情況下,如果未向 apiserver 指定
--service-account-key-file,則會使用 TLS 服務憑證中的私鑰來驗證服務帳戶令牌。為確保服務帳戶令牌的密鑰可以根據需要進行輪替,應使用單獨的公/私鑰對來簽署服務帳戶令牌。因此,應使用 --service-account-key-file 向 apiserver 指定公鑰。 |
注意預設情況下,
--service-account-key-file 參數未設定。 |
影響
必須向控制器管理器提供相應的私鑰。您需要安全地維護密鑰文件,並根據您組織的密鑰輪換政策進行密鑰輪換。
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證
--service-account-key-file 參數是否存在並已適當設定。補救
在控制平面節點上編輯 API 伺服器 Pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並將 --service-account-key-file 參數設置為服務帳戶的公鑰檔案:--service-account-key-file=<filename>