GKE su Bare Metal utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. L'autorità di certificazione del cluster (CA) gestisce questi certificati e queste chiavi. Quando esegui il comando bmctl update credentials certificate-authorities rotate, GKE su Bare Metal esegue le seguenti azioni:
Crea e carica nuove autorità di certificazione (CA) del cluster per la CA del cluster, la CA etcd e la CA del proxy frontale nello spazio dei nomi del cluster utente nel cluster di amministrazione.
I controller del cluster di amministrazione sostituiscono le autorità di certificazione dei cluster utente con quelli appena generati.
I controller del cluster di amministrazione distribuiscono i nuovi certificati CA pubblici e le coppie di chiavi dei certificati foglia ai componenti di sistema del cluster utente.
Per mantenere sicura la comunicazione del cluster, esegui la rotazione periodica della CA del cluster utente e ogni volta che si verifica una possibile violazione della sicurezza.
Prima di iniziare
Prima di eseguire la rotazione dell'autorità di certificazione del cluster, pianifica la pianificazione in base alle condizioni e agli impatti seguenti:
Assicurati che i cluster di amministrazione e utente siano alla versione 1.9.0 o successiva prima di iniziare la rotazione della CA.
La rotazione della CA è incrementale, consentendo ai componenti del sistema di comunicare durante la rotazione.
Il processo di rotazione della CA riavvia il server API, i processi del piano di controllo e i pod nel cluster utente.
I carichi di lavoro potrebbero essere riavviati e ripianificati durante la rotazione della CA.
Per le configurazioni dei cluster non ad alta disponibilità, sono previsti brevi periodi di tempo di inattività del piano di controllo durante la rotazione della CA.
Le operazioni di gestione dei cluster non sono consentite durante la rotazione della CA.
La durata della rotazione della CA dipende dalle dimensioni del cluster. Ad esempio, il completamento della rotazione della CA potrebbe richiedere quasi due ore per un cluster con un piano di controllo e 50 nodi worker.
Limitazioni
La funzionalità di rotazione dell'autorità di certificazione presenta le seguenti limitazioni:
La rotazione della CA non aggiorna i certificati emessi manualmente da un amministratore, anche se la CA del cluster firma i certificati. Aggiorna e ridistribuisci eventuali certificati emessi manualmente dopo il completamento della rotazione della CA del cluster utente.
Una volta avviata, la rotazione della CA non può essere messa in pausa o riportata.
Avvia una rotazione CA del cluster
Utilizza il comando seguente per avviare il processo di rotazione della CA:
bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
--kubeconfig KUBECONFIG
Sostituisci quanto segue:
CLUSTER_NAME: il nome del cluster per il quale vuoi ruotare le CA.KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione. Per i cluster che si autogestiscono, questo è il file kubeconfig del cluster.
Il comando bmctl viene chiuso dopo che la CA è stata ruotata correttamente e viene generato un nuovo file kubeconfig. Il percorso standard del file kubeconfig è bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.
Risolvere i problemi relativi alla rotazione di una CA del cluster
Il comando bmctl update credentials mostra l'avanzamento della rotazione della CA.
Il file update-credentials.log associato viene salvato nella seguente directory con timestamp:
bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP