【问题标题】:Is there any ways to revoke certificate after we have done certificate renew task?完成证书更新任务后,有什么方法可以撤销证书?
【发布时间】:2022-01-24 08:07:02
【问题描述】:

我们的k8s集群是用kubespray安装的,k8s版本是1.13.5,有同事把admin.conf文件拷贝到了自己的电脑上。因此,他可以使用 kubectl 工具远程做任何他想做的事情。我们已经通过互联网文档中的 kubeadm 工具更新了证书,但是我发现旧的 admin.conf 仍然可以访问 k8s 集群。貌似还要重新运行cluster.yaml,因为Certificate Authorize还是和以前一样,所以旧的admin.conf可以一直使用到过期。

我应该怎么做才能避免那个人(我的同事)再访问这个集群?

【问题讨论】:

    标签: kubernetes certificate kubespray


    【解决方案1】:

    尝试删除集群中的 kube-apiserver pod,以便 k8s 重新创建它们。

    我在我的系统上看到类似的东西,当我更新证书时,由于某种原因,kube-api 保持访问,尽管使用了旧的配置文件。

    【讨论】:

    • 您好,删除 kube-apiserver pod 的方法不起作用。我先复制 old-admin.conf,然后使用 kubespray cluster.yml 重新安装 kubernetes 集群。安装完成后,我删除 kube-apiserver 并使用 old-admin.conf,即使证书生成为新文件,它仍然可以用于访问我的集群。
    猜你喜欢
    • 2019-04-16
    • 2019-04-14
    • 2012-09-25
    • 2011-01-13
    • 1970-01-01
    • 1970-01-01
    • 2020-06-16
    • 2013-05-01
    • 1970-01-01
    相关资源
    最近更新 更多