GKE on Bare Metal の既存のクラスタ認証情報は、bmctl
コマンドを使用して更新できます。クラスタ認証情報を更新すると、新しい情報は管理クラスタまたはハイブリッド クラスタに渡されるか、管理クラスタによって管理されているユーザー クラスタに自動的にルーティングされます。
更新可能なクラスタ認証情報
GKE on Bare Metal クラスタを作成する際、複数の認証情報が必要になります。管理クラスタ、スタンドアロン クラスタ、ハイブリッド クラスタを作成する際に、クラスタ構成ファイルで認証情報を設定します。上記のようにユーザー クラスタは、管理クラスタ(または管理クラスタとして動作するハイブリッド クラスタ)によって管理され、管理クラスタからの同じ認証情報を再利用します。
クラスタおよびさまざまなクラスタ タイプの作成の詳細については、インストールの概要: デプロイメント モデルの選択をご覧ください。
bmctl
コマンドを使用して、GKE on Bare Metal クラスタ内の次の認証情報と、それに対応するシークレットを更新できます。
SSH private key
-- ノードへのアクセスに使用される。Container Registry key
-- イメージの pull のために Container Registry での認証に使用するサービス アカウント キー。Connect agent service account key
-- Connect エージェント Pod で使用されるサービス アカウント キー。Connect registry service account key
-- クラスタの登録または登録解除の際に Hub での認証に使用されるサービス アカウント キー。Cloud operations service account key
-- クラウド オペレーション(ロギングとモニタリング)API で認証するサービス アカウント キー。
bmctl
で認証情報を更新する
更新する認証情報に新しい値を準備します。
- 新しい Google サービス アカウント キーは、
gcloud
コマンドまたは Google Cloud UI を使用して生成できます。 - GKE on Bare Metal クラスタを構成するマシンで、新しい SSH 秘密鍵認証情報を生成します。
- 新しい Google サービス アカウント キーは、
以下で説明している適切なフラグを追加して、シークレットを
bmctl
コマンドで更新します。たとえば、ここでの
bmctl
は新しい SSH 秘密鍵の認証情報を更新します。ここで、ADMIN_KUBECONFIG は管理クラスタ、ハイブリッド クラスタ、スタンドアロン クラスタの kubeconfig へのパスを指定します。SSH_KEY_PATH には新しい SSH 秘密鍵のパスを指定し、CLUSTER_NAME はクラスタの名前を指定します。bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path SSH_KEY_PATH --cluster CLUSTER_NAME
bmtctl
で次のフラグを指定して、認証情報を更新できます。
フラグ | 説明 |
---|---|
--kubeconfig |
必須。管理クラスタ、ハイブリッド クラスタ、スタンドアロン クラスタの kubeconfig へのパス |
--cluster |
必須。管理クラスタ、ハイブリッド クラスタ、スタンドアロン クラスタの名前 |
--ssh-private-key-path |
新しい SSH 秘密鍵へのパス |
--gcr-key-path |
新しい Container Registry サービス アカウント キーへのパス |
--gke-connect-agent-service-account-key-path |
新しい Connect Agent サービス アカウント キーへのパス |
--gke-connect-register-service-account-key-path |
新しい Connect Register サービス アカウント キーへのパス |
--cloud-operations-service-account-key-path |
新しい Google Cloud のオペレーション スイートのサービス アカウント キーへのパス |