更新集群凭据和 Secret

您可以使用 bmctl 命令更新 GKE on Bare Metal 中的现有集群凭据。更新集群凭据时,新信息将传递到管理员集群或混合集群,或者自动路由到由管理员集群管理的受影响用户集群。

可更新的集群凭据

GKE on Bare Metal 集群在创建时需要多个凭据。您可以在创建管理员集群、独立集群或混合集群时在集群配置中设置凭据。如上所述,用户集群由管理员集群(或作为管理员集群的混合集群)管理,并将重复使用管理员集群中的相同凭据。

如需详细了解如何创建集群以及不同的集群类型,请参阅安装概览:选择部署模型

您可以使用 bmctl 命令在 GKE on Bare Metal 集群中更新以下凭据及其对应的密文:

  • SSH private key - 用于访问节点。
  • Container Registry key - 服务账号密钥,用于向 Container Registry 进行身份验证以拉取映像。
  • Connect agent service account key - Connect 代理 pod 使用的服务账号密钥。
  • Connect registry service account key - 用于在注册或取消注册集群时向 Hub 进行身份验证的服务账号密钥。
  • Cloud operations service account key - 用于向 Cloud Operations(日志记录和监控)API 进行身份验证的服务账号密钥。

使用 bmctl 更新凭据

  1. 为要更新的凭据准备新值:

    • 您可以通过 gcloud 命令或通过 Google Cloud 界面生成新的 Google 服务账号密钥。
    • 在组成 GKE on Bare Metal 集群的机器中生成新的 SSH 私钥凭据。
  2. 使用 bmctl 命令更新密文,并添加如下所述的标志。

    例如,此例中 bmctl 更新新 SSH 私钥的凭据,其中 ADMIN_KUBECONFIG 指定管理员集群、混合集群或独立集群的 kubeconfig 的路径,SSH_KEY_PATH 指定新 SSH 私钥的路径,CLUSTER_NAME 指定集群的名称:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path
    SSH_KEY_PATH --cluster CLUSTER_NAME
    

您可以使用 bmtctl 指定以下标志以更新凭据:

标志 说明
--kubeconfig 必需,管理员集群、混合集群或独立集群的 kubeconfig 的路径
--cluster 必需,管理员集群、混合集群或独立集群的名称
--ssh-private-key-path 新 SSH 私钥的路径
--gcr-key-path 新 Container Registry 服务账号密钥的路径
--gke-connect-agent-service-account-key-path 新 Connect 代理服务账号密钥的路径
--gke-connect-register-service-account-key-path 新 Connect 注册服务账号密钥的路径
--cloud-operations-service-account-key-path 新 Google Cloud 运维套件服务账号密钥的路径