設定檔適用性:等級 1 - 工作節點
啟用 kubelet 用戶端憑證輪換。
--rotate-certificates 設定會使 kubelet 在現有憑證過期時透過創建新的 CSR 來輪換其客戶端憑證。這種自動定期輪換確保不會因憑證過期而導致停機,從而解決 CIA 安全三元組中的可用性問題。 |
注意此建議僅適用於您讓 kubelet 從 API 伺服器獲取其憑證的情況。如果您的 kubelet 憑證來自外部授權機構/工具(例如密碼保險箱),那麼您需要自行處理憑證的輪換。
|
|
注意此功能還需要啟用
RotateKubeletClientCertificate功能閘(自 Kubernetes v1.7 起為預設值) |
|
注意預設情況下,kubelet 用戶端憑證輪換已啟動。
|
稽核
在每個節點上執行下列命令:
ps -ef | grep kubelet
驗證
--rotate-certificates 參數不存在,或設為 true。如果 --rotate-certificates 參數不存在,請確認由 --config 指定的 Kubelet 配置檔案中不包含 rotateCertificates: false。補救
如果使用 Kubelet 配置檔案,請編輯檔案以新增行
rotateCertificates: true,或完全移除該行以使用預設值。如果使用命令列參數,請在每個工作節點上編輯 kubelet 服務檔案
/etc/kubernetes/kubelet.conf,並從 KUBELET_CERTIFICATE_ARGS 變數中移除 --rotate-certificates=false 參數。根據您的系統,重新啟動
kubelet服務。例如:systemctl daemon-reload systemctl restart kubelet.service