檢視次數:
設定檔適用性:級別 1
啟用 kubelet 用戶端憑證輪替。
--rotate-certificates 設定使 kubelet 通過創建新的 CSR 來輪換其客戶端憑證,當其現有憑證過期時。這種自動定期輪換確保不會因憑證過期而導致停機,從而解決 CIA(機密性、完整性和可用性)安全三元組中的可用性問題。
注意
注意
  • 此建議僅適用於您讓 kubelet 從 API 伺服器獲取其證書的情況。如果您的 kubelet 證書來自外部授權機構/工具(例如密碼保險箱),則需要自行實施輪換。
  • 此功能還需要將RotateKubeletClientCertificate功能閘道設為已啟動。
  • 請參閱 GKE 文件以了解預設值。

稽核

  1. SSH 到每個節點並執行以下命令以查找 Kubelet 進程: 
     ps -ef | grep kubelet
  2. 如果上述命令的輸出包含 --RotateCertificate 可執行參數,請確認其設置為 true。
  3. 如果上述命令的輸出不包含 --RotateCertificate 可執行參數,請檢查 Kubelet 配置檔案。
    上述命令的輸出應返回類似於 --config /etc/kubernetes/kubelet/kubelet-config.json 的內容,這是 Kubelet 配置檔案的 位置資訊。
  4. 開啟 Kubelet 配置檔:
    cat /etc/kubernetes/kubelet-config.yaml
  5. 確認 RotateCertificate 參數不存在,或設為 true

補救

修復方法 1:
如果要修改 Kubelet 配置檔,請編輯 kubelet-config.yaml 檔案 /etc/kubernetes/kubelet/kubelet-config.yaml,並將以下參數設為 true:
"RotateCertificate":true
此外,確保 kubelet 服務檔案 /etc/systemd/system/kubelet.service.d/10-kubelet-args.conf 未將 --RotateCertificate 可執行參數設為 false,因為這會覆蓋 Kubelet 配置檔案。
修復方法 2:
如果使用可執行參數,請在每個工作節點上編輯 kubelet 服務檔案 /etc/systemd/system/kubelet.service.d/10-kubelet-args.conf,並在 KUBELET_ARGS 變數字串的末尾添加以下參數:
--RotateCertificate=true