使用Google作为OIDC提供商，而不泄露kubernetes中的客户端机密

Question

我们有一个kubernetes开发集群。我们希望给每个在这个开发集群上工作的开发人员一个名称空间的受控访问。

我们希望使用Google作为kubernetes API支持的OIDC提供者对其进行身份验证。

但这需要客户端秘密成为~/.kube/config的一部分。

users:
- name: you@yourdomain.com
  user:
    auth-provider:
      name: oidc      
      config:
        client-id: <client-id>
        client-secret: <client-secret>
        idp-issuer-url: https://accounts.google.com        
        id-token: <id-token>
        refresh-token: <refresh-token>

我们不想向用户泄露客户端秘密，因为当开发人员离开组织时，客户端机密会被泄露，并可能被误用来冒充。

请建议如何使用google作为OIDC提供程序对kubernetes集群中的用户进行身份验证，而不泄露客户端的秘密。

Answer 1

Client_secret现在对于k8s oidc配置来说是可选的，这意味着它可以支持公共客户端(有或没有client_secret)和机密客户端( client_secret，每个kubectl用户)。

这意味着您不需要使用客户端机密进行身份验证，但正如我在回答您的下一个问题openid-kubernetes时所写的，没有必要担心凭据泄漏。