kubernetes - 如何安全地向 kubectl 提供 kubeconfig

Question

我们的用户只能从管理站访问 Kubernetes 集群，无法直接从他们的笔记本电脑/工作站访问 API。

每个用户都拥有 kubeconfig，其中包含属于该特定用户的相关 secret 。由于 kubeconfig 还包含用于针对 Kubernetes API 进行身份验证的 token ，因此不可能将 kubeconfig “按原样”存储在管理站文件系统上。

有什么方法可以将 token /kubeconfig 提供给 kubectl，例如通过 STDIN，不将其公开给文件系统上的其他用户(例如管理站的管理员)？

Answer 1

您可以使用 bash 进程替换将整个 kubeconfig 传递给 kubectl 而无需将其保存到文件系统。

类似这样的东西适用于 CI 系统:

1. 对您的 kubeconfig 进行 Base64 编码并安全存储

export KUBECONFIG_DATA=$(cat kubeconfig | base64 -w0)

1. 使用进程替换进行 Base64 解码并将其直接传递给 kubectl:

kubectl --kubeconfig <(echo $KUBECONFIG_DATA | base64 --decode) ...