プロファイル適用性: レベル1 - マスターノード
コントローラーマネージャーでkubeletサーバ証明書のローテーションを有効にする。
RotateKubeletServerCertificateは、クライアント認証情報のブートストラップ後にkubeletがサーバー証明書を要求し、既存の認証情報が期限切れになると証明書を更新します。この自動的な定期的な更新により、証明書の期限切れによるダウンタイムがなくなり、CIAセキュリティの三要素における可用性に対応します。 |
注意この推奨事項は、kubeletがAPIサーバから証明書を取得する場合にのみ適用されます。kubeletの証明書が外部の認証機関/ツール (例: Vault) から取得される場合は、証明書のローテーションを自分で管理する必要があります。
|
|
注意デフォルトでは、
RotateKubeletServerCertificateは「true」に設定されています。この推奨事項は、それが無効化されていないことを確認します。 |
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-controller-manager
RotateKubeletServerCertificate引数が存在し、trueに設定されていることを確認してください。修復
コントロールプレーンノードでコントローラーマネージャーポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yamlを編集し、--feature-gatesパラメータにRotateKubeletServerCertificate=trueを含めて設定します。--feature-gates=RotateKubeletServerCertificate=true