I cluster Anthos su Bare Metal utilizzano certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. L'autorità di certificazione (CA) del cluster gestisce tali certificati e chiavi. Quando esegui il comando bmctl update credentials certificate-authorities rotate, i cluster Anthos su Bare Metal eseguono le seguenti azioni:
Crea e carica le nuove autorità di certificazione (CA) del cluster per la CA del cluster, la CA etcd e la CA del proxy anteriore nello spazio dei nomi del cluster utente nel cluster di amministrazione.
I controller del cluster di amministrazione sostituiscono le autorità di certificazione dei cluster utente con quelle appena generate.
I controller del cluster di amministrazione distribuiscono i nuovi certificati CA pubblici e le coppie di chiavi dei certificati foglia ai componenti di sistema del cluster utente.
Per mantenere la comunicazione nel cluster sicuro, esegui la rotazione periodica della CA del cluster utente e ogni volta che si verifica una possibile violazione della sicurezza.
Prima di iniziare
Prima di ruotare l'autorità di certificazione del cluster, pianifica in base alle seguenti condizioni e impatti:
Assicurati che i cluster di amministratori e utenti abbiano la versione 1.9.0 o successiva prima di avviare la rotazione delle CA.
La rotazione delle CA è incrementale, consentendo ai componenti di sistema di comunicare durante la rotazione.
Il processo di rotazione delle CA riavvia il server API, i processi del piano di controllo e i pod nel cluster utente.
I carichi di lavoro potrebbero essere riavviati e ripianificati durante la rotazione delle autorità di certificazione.
Per le configurazioni dei cluster ad alta disponibilità, sono previsti brevi periodi di inattività del piano di controllo durante la rotazione delle CA.
Le operazioni di gestione dei cluster non sono consentite durante la rotazione delle CA.
La durata della rotazione delle CA dipende dalla dimensione del cluster. Ad esempio, la rotazione della CA potrebbe richiedere circa due ore per essere completata per un cluster con un piano di controllo e 50 nodi worker.
Limitazioni
La funzionalità di rotazione delle autorità di certificazione presenta le seguenti limitazioni:
La rotazione delle CA non aggiorna i certificati emessi manualmente da un amministratore, anche se l'autorità di certificazione del cluster firma i certificati. Aggiorna e ridistribuisci gli eventuali certificati emessi manualmente al termine della rotazione delle CA dei cluster utente.
Una volta avviata, la rotazione delle CA non può essere messa in pausa o rollback.
Avvia una rotazione di CA del cluster
Utilizza il comando seguente per avviare il processo di rotazione delle CA:
bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
--kubeconfig KUBECONFIG
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster per cui vuoi eseguire la rotazione delle CA.KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione. Per i cluster con gestione autonoma, questo file è il file kubeconfig del cluster.
Il comando bmctl esce dopo la rotazione corretta della CA e viene generato un nuovo file kubeconfig. Il percorso standard del file kubeconfig è bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.
Risolvere i problemi di rotazione delle CA di un cluster
Il comando bmctl update credentials mostra l'avanzamento della rotazione della CA.
Il file update-credentials.log associato viene salvato nella seguente
directory con timestamp:
bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP