Alauda Container Platform
  • 简体中文

    • 更改平台 OIDC Client Secret

    ACP 使用 OIDC Client Secret 进行平台组件之间的身份验证。出于安全合规、定期凭证轮换或在发生潜在凭证泄露后,您可能需要轮换此密钥。在 global 集群上更新密钥后,平台会自动将其同步到所有成员集群。

    目录

    前提条件OIDC Secret 概览操作步骤回滚

    前提条件

    • 具有 cluster-admin 权限的 kubectl 访问权限,可访问 global 集群
    • 平台管理的所有集群均已升级到 ACP v4.3。
    • 以下具有 Agnostic 生命周期的插件已升级到与 ACP v4.3 兼容的版本:
      • Alauda Container Platform Gitops
      • Alauda Build of Kiali
      • Kubeflow Base
      • Alauda AI
    • 已准备好新的 client secret 值。建议使用至少 32 个字符的密码学随机字符串。
    WARNING

    更改 Client Secret 会导致受影响的组件重启,从而造成临时身份验证中断。请在维护窗口期间执行此操作。

    OIDC Secret 概览

    平台 OIDC 凭证存储在一个 Kubernetes Secret 中,详细信息如下:

    属性
    Secret 名称cpaas-oidc-secret
    Namespacecpaas-system

    该 Secret 包含两个数据键:

    • client-id — OIDC 客户端标识符,默认值为 alauda-auth请勿修改此值。
    • client-secret — OIDC Client Secret。这是您将要轮换的值。

    操作步骤

    备份当前 secret

    在进行更改之前,请先备份当前的 Secret 清单,以便在需要时回滚。

    kubectl get secret cpaas-oidc-secret -n cpaas-system -o yaml > cpaas-oidc-secret-backup.yaml
    WARNING

    备份文件包含敏感凭证数据。请将其存放在安全位置,并在操作完成后将其删除。

    记录当前的 client-secret 哈希值,以便在更新后进行非明文校验:

    OLD_SECRET_SHA256="$(kubectl get secret cpaas-oidc-secret -n cpaas-system \
  -o jsonpath='{.data.client-secret}' | base64 -d | openssl dgst -sha256 -r | awk '{print $1}')"
echo "当前 client-secret SHA256: ${OLD_SECRET_SHA256}"

    更新 Client Secret

    DANGER

    请勿修改 client-id 值,也不要删除并重新创建该 Secret。这样做可能会导致整个平台出现级联身份验证失败。

    使用以下任一方法仅更新 client-secret 数据字段。

    方法 1:使用 kubectl patch(推荐)

    通过安全的交互式输入读取新密钥:

    read -rs NEW_CLIENT_SECRET
echo
kubectl patch secret cpaas-oidc-secret -n cpaas-system \
  --type merge \
  -p "{\"data\":{\"client-secret\":\"$(printf %s "$NEW_CLIENT_SECRET" | base64 | tr -d '\n')\"}}"
unset NEW_CLIENT_SECRET

    方法 2:使用 kubectl edit

    在默认编辑器中打开该 Secret,并将 client-secret 值替换为新的 base64 编码值。

    kubectl edit secret cpaas-oidc-secret -n cpaas-system
    TIP

    您可以提前生成 base64 编码值:

    read -rs NEW_CLIENT_SECRET
echo
printf %s "$NEW_CLIENT_SECRET" | base64
unset NEW_CLIENT_SECRET

    在不暴露明文的情况下验证 global 集群上的 Secret 已更新:

    NEW_SECRET_SHA256="$(kubectl get secret cpaas-oidc-secret -n cpaas-system \
  -o jsonpath='{.data.client-secret}' | base64 -d | openssl dgst -sha256 -r | awk '{print $1}')"
echo "更新后的 client-secret SHA256: ${NEW_SECRET_SHA256}"
test "${OLD_SECRET_SHA256}" != "${NEW_SECRET_SHA256}" && \
  echo "验证通过:client-secret 已更改。"
unset OLD_SECRET_SHA256 NEW_SECRET_SHA256

    验证组件健康状态

    Secret 更新后,base-operator 会自动将其同步到所有成员集群。依赖 OIDC 凭证的某些组件会重启以加载新值。特别是,请确认 frontendapollo 部署运行正常:

    kubectl get deploy -n cpaas-system frontend apollo

    确认所有 Pod 均处于 READYUP-TO-DATE 状态。重启完成可能需要几分钟。

    INFO

    如果某个组件启动失败,请确认 cpaas-oidc-secret Secret 是否存在于 cpaas-system Namespace 中,并且包含有效的 client-idclient-secret 值。

    回滚

    如果在更改 Secret 后出现问题,请从 步骤 1 创建的备份中恢复之前的值:

    kubectl apply -f cpaas-oidc-secret-backup.yaml

    或者,如果您知道之前的密钥值:

    read -rs PREVIOUS_CLIENT_SECRET
echo
kubectl patch secret cpaas-oidc-secret -n cpaas-system \
  --type merge \
  -p "{\"data\":{\"client-secret\":\"$(printf %s "$PREVIOUS_CLIENT_SECRET" | base64 | tr -d '\n')\"}}"
unset PREVIOUS_CLIENT_SECRET

    回滚后,请重复验证步骤,确认所有组件均处于健康状态。