es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • ¿Existen formas de revocar un certificado después de haber realizado la tarea de renovación del certificado?

¿Existen formas de revocar un certificado después de haber realizado la tarea de renovación del certificado?

28 Jul, 2023 Programación

Nuestro clúster k8s está instalado por kubespray y la versión de k8s es 1.13.5, algunos de mis colegas han copiado el archivo admin.conf en su computadora personal. Por lo tanto, pueden usar la herramienta kubectl para hacer todo lo que deseen de forma remota. Hemos renovado el certificado utilizando la herramienta kubeadm según el documento de Internet, pero encontré que el antiguo admin.conf sigue funcionando para acceder al clúster k8s. Parece que incluso al volver a ejecutar cluster.yaml, porque la Autorización del Certificado sigue siendo la misma que antes, por lo tanto, el antiguo admin.conf puede seguir siendo utilizado hasta que expire.

¿Cómo puedo evitar que esta persona (mi colega) acceda a este clúster en el futuro?

Tags:  , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Como el archivo admin.conf contiene credenciales para acceder al clúster de Kubernetes, es importante revocar el acceso al compañero que copió el archivo en su computadora personal. Aquí te presento los pasos que puedes seguir para evitar su acceso:

    1. Identificar al usuario: Primero, debes identificar al usuario que copió el archivo admin.conf en su computadora personal. Una vez que sepas quién es, puedes proceder a revocar su acceso.

    2. Revocar el acceso del usuario: Para revocar el acceso del usuario, puedes eliminar su cuenta de usuario o eliminar su rol de la configuración de RBAC (Control de Acceso Basado en Roles). Puedes hacer esto editando los archivos YAML correspondientes en el directorio kubespray y aplicando los cambios nuevamente utilizando el comando kubectl apply.

    3. Regenerar el archivo admin.conf: Una vez que hayas eliminado el acceso del usuario, debes regenerar el archivo admin.conf para asegurarte de que solo los usuarios autorizados puedan acceder al clúster. Para hacerlo, ejecuta el siguiente comando:

    kubeadm alpha kubeconfig user --client-name=admin --apiserver-advertise-address=<dirección-ip> --kubeconfig=/etc/kubernetes/admin.conf

    Reemplaza <dirección-ip> con la dirección IP del servidor de API de Kubernetes. Esto debería regenerar el archivo admin.conf con certificados y claves renovados.

    1. Distribuir el nuevo archivo admin.conf: Finalmente, debes distribuir el nuevo archivo admin.conf a todos los usuarios autorizados que necesiten acceder al clúster de Kubernetes. Asegúrate de compartir el archivo de manera segura y actualizar cualquier script o herramienta que utilice el archivo admin.conf anterior.</dirección-ip></dirección-ip>

Comments are closed.