TKE Kubernetes 1.34 节点初始化变更
节点注册集群方式
原行为:节点初始化时,控制面会为 kubelet 下发一个长期有效的 kubeconfig 证书,早期是 20 年有效期(后期更新为 30 年有效期)。
新行为:节点初始化时,控制面改为向 kubelet 下发一个 bootstrap token(24小时有效期)。kubelet 启动后,需使用 bootstrap token 向 apiserver 换取正式使用的证书。
证书存储路径:/var/lib/kubelet/pki/
root 用户 kubeconfig 权限
原行为:节点初始化时,控制面根据 TKE_ADMIN_KUBECONFIG 白名单来控制给 root 用户下发
/root/.kube/config 文件,由于下发的都是 admin 权限的配置,所以可以通过该配置访问集群内所有资源,存在安全风险。白名单内:下发长期有效的 admin 权限的 kubeconfig 文件。
非白名单:下发一个 12小时有效期的 admin 权限 的 kubeconfig 文件。
新行为(适用于 TKE 1.34 及以上版本):TKE_ADMIN_KUBECONFIG 白名单机制已失效,控制面不再下发固定证书的 kubeconfig,而是将在 /root/.kube/config 位置为 root 用户创建一个指向 kubelet 当前所用 kubeconfig 文件的软链接,权限和 kubelet 保持一致,仅支持操作当前节点资源。
