我们在 AWS 中有几个使用 Kops 创建的 k8s 集群。
我们正在尝试通过使用服务帐户和用户设置 RBAC 来提高安全性。
不幸的是,我们的一些开发人员获得了主/管理员证书。
是否可以在不创建新集群的情况下重新生成主证书?
其他与安全相关的最佳实践也将不胜感激! 谢谢。
答案 0 :(得分:1)
这是基于类似问题的解决方案的社区维基答案。随意扩展它。
正如评论中已经提到的,您的问题的答案归结为以下结论:
目前没有简单的方法可以roll certificates without disruptions
您不能禁用证书,因为 Kubernetes 依赖 PKI 进行身份验证
如 this PR
中所述,将来轮换秘密应该是优雅的