設定檔適用性:等級 1 - 主節點
預設情況下,Kubernetes 將服務帳戶令牌的有效期延長至一年,以協助從舊版令牌設定過渡。
此預設設定對於安全性而言並不理想,因為它忽略了與最大憑證有效期相關的其他設定,這意味著遺失或被竊的憑證可能在較長時間內仍然有效。
 |
注意預設情況下,此參數設定為
true。 |
影響
停用此設定表示叢集中設定的服務帳戶令牌到期時間將被強制執行,服務帳戶令牌將在該時間範圍結束時到期。
稽核
在控制平面節點上執行以下命令:
ps -ef | grep kube-apiserver
驗證 --service-account-extend-token-expiration 參數是否設為 false。
補救
在控制平面節點上編輯 API 伺服器 Pod 規範檔案
/etc/kubernetes/manifests/kube-apiserver.yaml,並將 --service-account-extend-token-expiration 參數設為 false。--service-account-extend-token-expiration=false