全部产品
Search

搜索本产品

    Container Service for Kubernetes:Cabut file kubeconfig dari klaster

    文档中心

    Container Service for Kubernetes:Cabut file kubeconfig dari klaster

    更新时间:Jul 06, 2025

    Dalam skenario multi-pengguna, Container Service for Kubernetes (ACK) menandatangani dan menerbitkan file kubeconfig yang berisi informasi identitas kepada pengguna dengan peran berbeda. File kubeconfig ini digunakan untuk terhubung ke klaster ACK. Jika seorang karyawan mengundurkan diri atau file kubeconfig terungkap, Anda dapat mencabut file tersebut untuk melindungi klaster yang dapat diakses menggunakan file kubeconfig tersebut. Topik ini menjelaskan cara menggunakan akun Alibaba Cloud atau Pengguna Resource Access Management (RAM) untuk mencabut file kubeconfig yang telah diterbitkan.

    Catatan penggunaan

    Batasan pada klaster

    • Untuk mencabut file kubeconfig yang digunakan untuk mengakses ACK managed cluster atau ACK dedicated cluster, klaster harus dibuat setelah 15 Oktober 2019.

    • Untuk mencabut file kubeconfig yang digunakan untuk mengakses ACK Serverless cluster, klaster harus dibuat setelah 6 September 2019.

    Skenario penggunaan

    Anda mungkin perlu mencabut file kubeconfig dalam skenario berikut:

    • Gunakan akun Alibaba Cloud untuk mencabut file kubeconfig dari pengguna RAM yang dikelola oleh akun Alibaba Cloud.

    • Gunakan pengguna RAM untuk mencabut file kubeconfig milik pengguna RAM tersebut.

    Setelah mencabut file kubeconfig yang digunakan untuk mengakses klaster, sistem secara otomatis memberikan file kubeconfig baru kepada klaster.

    Gunakan akun Alibaba Cloud untuk mencabut file kubeconfig dari semua pengguna RAM yang dikelola oleh akun Alibaba Cloud

    Penting

    Anda hanya dapat menggunakan akun Alibaba Cloud untuk mencabut file kubeconfig dari pengguna RAM atau peran RAM yang dikelola oleh akun Alibaba Cloud.

    Gunakan akun Alibaba Cloud untuk masuk ke Konsol ACK dan ikuti langkah-langkah berikut:

    1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Authorizations.

    2. Di daftar pengguna RAM pada tab RAM Users, klik KubeConfig Management untuk pengguna RAM untuk melihat daftar klaster yang dibuat oleh pengguna RAM tersebut. Lalu, klik Delete KubeConfig File di kolom Actions dan cabut file kubeconfig sesuai petunjuk.

    Gunakan pengguna RAM untuk mencabut file kubeconfig dari pengguna RAM tersebut

    Gunakan pengguna RAM untuk masuk ke Konsol ACK dan ikuti langkah-langkah berikut:

    Penting

    Setelah file kubeconfig dicabut, pengguna RAM tidak lagi dapat menggunakan file kubeconfig untuk mengakses klaster yang bersangkutan. Lanjutkan dengan hati-hati.

    1. Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.

    2. Di halaman Clusters, temukan klaster target dan klik namanya. Di panel navigasi di sebelah kiri, klik Cluster Information.

    3. Klik tab Connection Information, klik Revoke KubeConfig, lalu klik OK.

    Cabut file kubeconfig dari karyawan yang mengundurkan diri atau pengguna yang tidak tepercaya

    Untuk menghapus pengguna RAM atau peran RAM yang digunakan oleh karyawan yang mengundurkan diri atau pengguna yang tidak tepercaya, Anda harus terlebih dahulu menggunakan akun Alibaba Cloud untuk mencabut file kubeconfig dari pengguna RAM atau peran RAM tersebut. Menghapus hanya pengguna RAM atau peran RAM tidak akan mencabut izin Role-Based Access Control (RBAC) dalam file kubeconfig dari pengguna RAM atau peran RAM tersebut.

    Penting

    Sebelum mencabut file kubeconfig, pastikan tidak ada aplikasi di klaster yang bergantung pada izin dalam file kubeconfig tersebut. Untuk informasi lebih lanjut, lihat Gunakan Akun Alibaba Cloud untuk Mencabut File kubeconfig dari Pengguna RAM.

    Jika Anda secara tidak sengaja menghapus pengguna RAM yang digunakan oleh karyawan yang mengundurkan diri atau pengguna yang tidak tepercaya tetapi belum mencabut file kubeconfig, ikuti langkah-langkah berikut. Kami menyarankan Anda mencabut file kubeconfig dari pengguna RAM sebelum menghapus pengguna RAM tersebut.

    Klik untuk Melihat Cara Mencabut File kubeconfig dari Pengguna RAM Ketika Pengguna RAM Dihapus

    • Jika Pengguna RAM Berada di Tempat Sampah

      1. Pulihkan informasi dasar pengguna RAM dari tempat sampah. Anda tidak perlu memulihkan pasangan AccessKey dari pengguna RAM. Untuk informasi lebih lanjut, lihat Pulihkan Pengguna RAM dari Tempat Sampah.

      2. Gunakan akun Alibaba Cloud untuk mencabut file kubeconfig dari semua klaster yang dibuat oleh pengguna RAM. Untuk informasi lebih lanjut, lihat Gunakan Akun Alibaba Cloud untuk Mencabut File kubeconfig dari Pengguna RAM.

      3. Pindahkan pengguna RAM ke tempat sampah. Untuk informasi lebih lanjut, lihat Pindahkan Pengguna RAM ke Tempat Sampah.

    • Jika Pengguna RAM Dihapus Secara Permanen: Dalam kasus ini, Anda perlu secara manual menghapus pengikatan RBAC yang dimulai dengan ID pengguna RAM atau peran RAM di klaster.

      1. Jalankan perintah berikut sebagai administrator klaster untuk melihat semua ClusterRoleBindings di klaster:

        kubectl get clusterrolebinding

        ClusterRoleBindings yang diterbitkan oleh modul otorisasi ACK diberi nama dalam format xxxxxxx-clusterrolebinding. xxxxxxx menunjukkan ID pengguna RAM atau peran RAM. Jika ID dimulai dengan 2, itu adalah pengikatan pengguna RAM. Jika ID dimulai dengan 3, itu adalah pengikatan peran RAM.Container Service for Kubernetes

      2. Jalankan perintah berikut sebagai administrator klaster untuk melihat semua RoleBindings yang diterbitkan oleh modul otorisasi ACK.Container Service for Kubernetes

        kubectl get rolebinding -A | grep 'cs:ns:'

        RoleBindings diberi nama dalam format xxxxxxx-yyyyy-rolebinding. xxxxxxx menunjukkan ID pengguna RAM atau peran RAM. Jika ID dimulai dengan 2, itu adalah pengikatan pengguna RAM. Jika ID dimulai dengan 3, itu adalah pengikatan peran RAM.

      3. Untuk pengikatan pengguna RAM yang dimulai dengan 2, masuk ke Konsol RAM. Di halaman Users, cari ID pengguna RAM untuk memeriksa apakah pengguna RAM tersebut ada. Jika pengguna RAM tidak ditemukan, Anda perlu menghapus pengikatan tersebut.

      4. Untuk pengikatan peran RAM yang dimulai dengan 3, panggil operasi API ListRoles untuk melihat ID peran RAM yang sedang digunakan. Jika ID peran RAM tidak ada dalam daftar yang dikembalikan, Anda perlu menghapus pengikatan tersebut.

      5. Untuk menghapus pengikatan RBAC, jalankan perintah kubectl delete clusterrolebinding xxxxxxx-clusterrolebinding atau kubectl delete rolebinding xxxxxxx-yyyyy-rolebinding -n zzzz. zzzz menunjukkan namespace dari RoleBindings.