KubeConfig操作指引
KubeConfig用于存儲Kubernetes客戶端(例如kubectl)連接和認證Kubernetes集群所需的各種參數(shù)和憑證信息,它包含了有關(guān)集群、用戶、命名空間以及身份認證機制的信息。本文介紹KubeConfig相關(guān)操作指引。
操作指引
容器服務(wù) Kubernetes 版會為不同阿里云賬號、RAM用戶或角色簽發(fā)帶有其身份信息的KubeConfig憑證用于連接集群。您可以根據(jù)不同場景需求,對KubeConfig進行如下操作:
根據(jù)安全責(zé)任共擔(dān)模型,Kubeconfig憑據(jù)需要由您負責(zé)和維護,請謹慎維護憑據(jù)的合理性和有效性,避免KubeConfig泄漏帶來的安全風(fēng)險。
操作 | 說明 | 相關(guān)文檔 |
獲取KubeConfig | 獲取KubeConfig用于連接集群,支持通過公網(wǎng)訪問和私網(wǎng)訪問兩種方式。對于無需長期連接集群API Server的訪問場景,建議您優(yōu)先使用臨時的KubeConfig,降低KubeConfig憑據(jù)泄露后的安全風(fēng)險。 | |
吊銷KubeConfig | 吊銷KubeConfig用于RAM用戶或角色吊銷自身的KubeConfig憑證。吊銷成功后會生成新的KubeConfig和授權(quán)綁定,同時,之前已下發(fā)的針對該RAM用戶或角色的原KubeConfig會失效。 | |
清除KubeConfig | 清除KubeConfig用于權(quán)限管理員批量清理其管理范圍內(nèi)指定集群維度或RAM用戶或角色維度的KubeConfig權(quán)限,清除后不會生成新的KubeConfig,同時,權(quán)限管理員可以通過KubeConfig回收站功能恢復(fù)已清除的指定KubeConfig權(quán)限。 當(dāng)用戶離職或權(quán)限需要變更時,您可以通過控制臺或通過ack-ram-tool工具及時清理集群中已刪除用戶的權(quán)限,避免安全風(fēng)險。 | |
恢復(fù)KubeConfig | 如果您需要恢復(fù)誤清除的KubeConfig,或回滾某個歷史版本的KubeConfig,您可以通過KubeConfig回收站功能來實現(xiàn)。 |