KubeConfig用于存储Kubernetes客户端(例如kubectl)连接和认证Kubernetes集群所需的各种参数和凭证信息,它包含了有关集群、用户、命名空间以及身份认证机制的信息。本文介绍KubeConfig相关操作指引。
操作指引
容器服务 Kubernetes 版会为不同阿里云账号、RAM用户或角色签发带有其身份信息的KubeConfig凭证用于连接集群。您可以根据不同场景需求,对KubeConfig进行如下操作:
根据安全责任共担模型,Kubeconfig凭据需要由您负责和维护,请谨慎维护凭据的合理性和有效性,避免KubeConfig泄漏带来的安全风险。
操作 | 说明 | 相关文档 |
获取KubeConfig | 获取KubeConfig用于连接集群,支持通过公网访问和私网访问两种方式。对于无需长期连接集群API Server的访问场景,建议您优先使用临时的KubeConfig,降低KubeConfig凭据泄露后的安全风险。 | |
吊销KubeConfig | 吊销KubeConfig用于RAM用户或角色吊销自身的KubeConfig凭证。吊销成功后会生成新的KubeConfig和授权绑定,同时,之前已下发的针对该RAM用户或角色的原KubeConfig会失效。 | |
清除KubeConfig | 清除KubeConfig用于权限管理员批量清理其管理范围内指定集群维度或RAM用户或角色维度的KubeConfig权限,清除后不会生成新的KubeConfig,同时,权限管理员可以通过KubeConfig回收站功能恢复已清除的指定KubeConfig权限。 当用户离职或权限需要变更时,您可以通过控制台或通过ack-ram-tool工具及时清理集群中已删除用户的权限,避免安全风险。 | |
恢复KubeConfig | 如果您需要恢复误清除的KubeConfig,或回滚某个历史版本的KubeConfig,您可以通过KubeConfig回收站功能来实现。 |