我正在運行一個托管在 GKE 上的 Kubernetes 集群，并且想編寫一個與 Kubernetes API 對話的應用程序（用 Go 編寫）。我的理解是，我可以提供客戶端證書、不記名令牌或 HTTP 基本身份驗證，以便與 apiserver 進行身份驗證。我已經找到了將其中任何一個注入Golang 客戶端庫的正確位置。不幸的是，我遇到的示例傾向于引用存儲在我的個人 kubeconfig 文件中的現有憑據。從安全角度來看，這似乎是不可取的，并且讓我相信我應該創建一個新的客戶端證書/令牌/用戶名-密碼對，以支持輕松撤銷/刪除受感染帳戶。但是，我在文檔中找不到實際描述在 GKE 中的托管 Kubernetes 上運行時如何解決此問題的地方。（有一個關于創建新證書的指南，解釋了 apiserver 最終需要使用更新的參數重新啟動，據我所知，在 GKE 中無法做到這一點。）我在一個（或多個）應用程序中重用我的個人 Kubernetes 憑證的安全顧慮是否不合理？如果沒有，生成一組新憑據的正確方法是什么？謝謝。