Có thể sử dụng nhiều/chứng chỉ gốc tùy chỉnh cho nhóm người dùng/tệp kubectl/config không?
Không, chỉ có một chứng chỉ "root", đó là lý do tại sao nó được gọi là root.
Tuy nhiên, x509 là một chuỗi đáng tin cậy, nghĩa là hoàn toàn có thể cấp các CA cấp dưới cho gốc đó, sau đó cấp chứng chỉ người dùng cho các CA đó, chọn loại bỏ các CA cấp dưới khi dự án kết thúc, điều này sẽ mồ côi tất cả các chứng chỉ lá đó. Xin lưu ý rằng theo hiểu biết tốt nhất của tôi, việc thay đổi chứng chỉ hoặc chuỗi của chúng yêu cầu khởi động lại mặt phẳng điều khiển, vì nó không tải lại nóng các tệp chứng chỉ đó. Tôi tin rằng có vấn đề về GitHub đối với nó, giống như tất cả 15.000 phần còn lại
Lựa chọn khác, tùy thuộc vào nhu cầu của bạn, là đưa ra các hợp đồng thuê ngắn hạn cho các chứng chỉ người dùng sao cho quy trình "thu hồi" không làm thay đổi quá nhiều chuỗi tin cậy x509 cũng như việc không thể cấp lại thông tin xác thực. Điều đó gần hơn với trường phái tư tưởng Hashicorp Vault và Let's Encrypt
Cá nhân tôi đã triển khai cái thứ 2 (sử dụng Vault), nhưng tôi tin rằng cái đầu tiên là khả thi vì apiserver sử dụng chuỗi x509 cho một số xác thực thành phần trong cụm của nó, vì vậy tôi không hiểu tại sao bạn không thể tận dụng lợi thế tương tự của cơ chế đó
Tôi biết đây không phải là những gì bạn đã hỏi, nhưng sử dụng x509 cho xác thực tạm thời như thế là con đường dẫn đến sự hủy hoại bởi vì -- như bạn đang gặp phải -- cả hai bên, phát hành và thu hồi, đều là một nỗi đau lớn. Nếu nó hoàn toàn có sẵn cho bạn, Cơ chế xác thực OIDC dễ dàng hơn nhiều để suy luận về và kubectl có ít nhiều hỗ trợ tích hợp cho nó
