クラスタ認証情報とシークレットを更新する

GKE on Bare Metal の既存のクラスタ認証情報は、bmctl コマンドを使用して更新できます。クラスタ認証情報を更新すると、新しい情報は管理クラスタまたはハイブリッド クラスタに渡されるか、管理クラスタによって管理されているユーザー クラスタに自動的にルーティングされます。

更新可能なクラスタ認証情報

GKE on Bare Metal クラスタを作成する際、複数の認証情報が必要になります。管理クラスタ、スタンドアロン クラスタ、ハイブリッド クラスタを作成する際に、クラスタ構成ファイルで認証情報を設定します。上記のようにユーザー クラスタは、管理クラスタ(または管理クラスタとして動作するハイブリッド クラスタ)によって管理され、管理クラスタからの同じ認証情報を再利用します。

クラスタおよびさまざまなクラスタ タイプの作成の詳細については、インストールの概要: デプロイメント モデルの選択をご覧ください。

bmctl コマンドを使用して、GKE on Bare Metal クラスタ内の次の認証情報と、それに対応するシークレットを更新できます。

  • SSH private key -- ノードへのアクセスに使用される。
  • Container Registry key -- イメージの pull のために Container Registry での認証に使用するサービス アカウント キー。
  • Connect agent service account key -- Connect エージェント Pod で使用されるサービス アカウント キー。
  • Connect registry service account key -- クラスタの登録または登録解除の際に Hub での認証に使用されるサービス アカウント キー。
  • Cloud operations service account key -- クラウド オペレーション(ロギングとモニタリング)API で認証するサービス アカウント キー。

bmctl で認証情報を更新する

  1. 更新する認証情報に新しい値を準備します。

    • 新しい Google サービス アカウント キーは、gcloud コマンドまたは Google Cloud UI を使用して生成できます。
    • GKE on Bare Metal クラスタを構成するマシンで、新しい SSH 秘密鍵認証情報を生成します。
  2. 以下で説明している適切なフラグを追加して、シークレットを bmctl コマンドで更新します。

    たとえば、ここでの bmctl は新しい SSH 秘密鍵の認証情報を更新します。ここで、ADMIN_KUBECONFIG は管理クラスタ、ハイブリッド クラスタ、スタンドアロン クラスタの kubeconfig へのパスを指定します。SSH_KEY_PATH には新しい SSH 秘密鍵のパスを指定し、CLUSTER_NAME はクラスタの名前を指定します。

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path
    SSH_KEY_PATH --cluster CLUSTER_NAME
    

bmtctl で次のフラグを指定して、認証情報を更新できます。

フラグ 説明
--kubeconfig 必須。管理クラスタ、ハイブリッド クラスタ、スタンドアロン クラスタの kubeconfig へのパス
--cluster 必須。管理クラスタ、ハイブリッド クラスタ、スタンドアロン クラスタの名前
--ssh-private-key-path 新しい SSH 秘密鍵へのパス
--gcr-key-path 新しい Container Registry サービス アカウント キーへのパス
--gke-connect-agent-service-account-key-path 新しい Connect Agent サービス アカウント キーへのパス
--gke-connect-register-service-account-key-path 新しい Connect Register サービス アカウント キーへのパス
--cloud-operations-service-account-key-path 新しい Google Cloud のオペレーション スイートのサービス アカウント キーへのパス