我已经通过以下方式启动了几个集群KOPS https://github.com/kubernetes/kops而且,作为 k8s 集群配置新手,我与我的团队共享了整个 kube 配置文件。我错误地认为我可以轻松更改用户名和密码,以防止已离开公司的开发人员验证是否拥有 kube 配置文件。
示例用户部分如下所示:
- name: kubernetes.example.com
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
password: REDACTED
username: REDACTED
当我更改密码时,我仍然可以进行身份验证。但是删除证书部分我就变得未经授权。我已经设置了AWS-iam-身份验证器 https://github.com/kubernetes-sigs/aws-iam-authenticator这工作得很好,但是证书身份验证仍然有效,这表明任何有权访问原始 kube 配置的人仍然能够通过服务器进行身份验证。
除了重新启动新集群之外,是否有任何简单的方法来轮换这些证书或完全关闭证书身份验证并仅遵循 AWS 身份验证?
目前还没有一种简单的方法可以在不中断的情况下滚动证书。看https://kops.sigs.k8s.io/rotate-secrets/ https://kops.sigs.k8s.io/rotate-secrets/
也不可能禁用证书,因为 kubernetes 本身依赖 PKI 进行身份验证。
好消息是,在 kOps 的更高版本中,轮换秘密should保持优雅。这里有一个关于此功能的 PR:https://github.com/kubernetes/kops/pull/10516 https://github.com/kubernetes/kops/pull/10516
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)