Mettre à jour les identifiants et les secrets du cluster

Vous pouvez mettre à jour les identifiants d'un cluster existants dans GKE sur Bare Metal à l'aide de la commande bmctl. Lorsque vous mettez à jour les identifiants d'un cluster, les nouvelles informations sont transmises aux clusters d'administrateur ou hybrides, ou acheminées automatiquement vers les clusters d'utilisateur concernés gérés par un cluster d'administrateur.

Identifiants du cluster pouvant être mis à jour

Les clusters GKE sur Bare Metal nécessitent plusieurs identifiants lors de leur création. Vous définissez les identifiants dans la configuration du cluster lorsque vous créez un cluster d'administrateur, autonome ou hybride. Comme indiqué ci-dessus, les clusters d'utilisateur sont gérés par un cluster d'administrateur (ou un cluster hybride agissant en tant qu'administrateur) et réutilisent les mêmes identifiants que le cluster d'administrateur.

Pour en savoir plus sur la création de clusters et les différents types de clusters, consultez la section Présentation de l'installation : choisir un modèle de déploiement.

Vous pouvez mettre à jour les identifiants suivants et les secrets correspondants dans les clusters GKE sur Bare Metal à l'aide de la commande bmctl:

  • SSH private key : utilisé pour l'accès aux nœuds.
  • Container Registry key : clé de compte de service permettant de s'authentifier auprès de Container Registry pour l'extraction d'images.
  • Connect agent service account key : clé de compte de service utilisée par les pods de l'agent Connect.
  • Connect registry service account key : clé de compte de service utilisée pour l'authentification auprès de Hub lors de l'enregistrement ou de l'annulation de l'enregistrement d'un cluster.
  • Cloud operations service account key : clé de compte de service utilisée pour s'authentifier auprès des API Cloud Operations (journalisation et surveillance).

Mettre à jour les identifiants avec bmctl

  1. Préparez les nouvelles valeurs des identifiants que vous souhaitez mettre à jour :

    • Vous pouvez générer de nouvelles clés de compte de service Google via la commande gcloud ou via l'interface utilisateur de Google Cloud.
    • Générer de nouveaux identifiants de clé privée SSH sur les machines qui composent les clusters GKE sur Bare Metal.
  2. Mettez à jour les secrets avec la commande bmctl, en ajoutant les options appropriées décrites ci-dessous.

    Par exemple, ici bmctl met à jour les identifiants d'une nouvelle clé privée SSH, où :ADMIN_KUBECONFIG spécifie le chemin d'accès au fichier kubeconfig du cluster d'administrateur, hybride ou autonome.SSH_KEY_PATH spécifie le chemin d'accès à la nouvelle clé privée SSH, et CLUSTER_NAME spécifie le nom du cluster :

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path
    SSH_KEY_PATH --cluster CLUSTER_NAME
    

Vous pouvez spécifier les options suivantes avec bmtctl pour mettre à jour les identifiants :

Option description
--kubeconfig obligatoire, chemin d'accès au fichier kubeconfig du cluster d'administrateur, hybride ou autonome
--cluster obligatoire, nom de l'administrateur, du cluster hybride ou autonome
--ssh-private-key-path chemin d'accès à la nouvelle clé privée SSH
--gcr-key-path chemin d'accès à la nouvelle clé de compte de service Container Registry
--gke-connect-agent-service-account-key-path chemin d'accès à la nouvelle clé de compte de service de l'agent Connect
--gke-connect-register-service-account-key-path chemin d'accès à la nouvelle clé de compte de service de l'enregistrement Connect
--cloud-operations-service-account-key-path chemin d'accès à la nouvelle clé de compte de service de la suite d'opérations de Google Cloud