您可以使用 bmctl
命令更新 GKE on Bare Metal 中的现有集群凭据。更新集群凭据时,新信息将传递到管理员集群或混合集群,或者自动路由到由管理员集群管理的受影响用户集群。
可更新的集群凭据
GKE on Bare Metal 集群在创建时需要多个凭据。您可以在创建管理员集群、独立集群或混合集群时在集群配置中设置凭据。如上所述,用户集群由管理员集群(或作为管理员集群的混合集群)管理,并将重复使用管理员集群中的相同凭据。
如需详细了解如何创建集群以及不同的集群类型,请参阅安装概览:选择部署模型。
您可以使用 bmctl
命令在 GKE on Bare Metal 集群中更新以下凭据及其对应的密文:
SSH private key
- 用于访问节点。Container Registry key
- 服务账号密钥,用于向 Container Registry 进行身份验证以拉取映像。Connect agent service account key
- Connect 代理 pod 使用的服务账号密钥。Connect registry service account key
- 用于在注册或取消注册集群时向 Hub 进行身份验证的服务账号密钥。Cloud operations service account key
- 用于向 Cloud Operations(日志记录和监控)API 进行身份验证的服务账号密钥。
使用 bmctl
更新凭据
为要更新的凭据准备新值:
- 您可以通过
gcloud
命令或通过 Google Cloud 界面生成新的 Google 服务账号密钥。 - 在组成 GKE on Bare Metal 集群的机器中生成新的 SSH 私钥凭据。
- 您可以通过
使用
bmctl
命令更新密文,并添加如下所述的标志。例如,此例中
bmctl
更新新 SSH 私钥的凭据,其中 ADMIN_KUBECONFIG 指定管理员集群、混合集群或独立集群的 kubeconfig 的路径,SSH_KEY_PATH 指定新 SSH 私钥的路径,CLUSTER_NAME 指定集群的名称:bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path SSH_KEY_PATH --cluster CLUSTER_NAME
您可以使用 bmtctl
指定以下标志以更新凭据:
标志 | 说明 |
---|---|
--kubeconfig |
必需,管理员集群、混合集群或独立集群的 kubeconfig 的路径 |
--cluster |
必需,管理员集群、混合集群或独立集群的名称 |
--ssh-private-key-path |
新 SSH 私钥的路径 |
--gcr-key-path |
新 Container Registry 服务账号密钥的路径 |
--gke-connect-agent-service-account-key-path |
新 Connect 代理服务账号密钥的路径 |
--gke-connect-register-service-account-key-path |
新 Connect 注册服务账号密钥的路径 |
--cloud-operations-service-account-key-path |
新 Google Cloud 运维套件服务账号密钥的路径 |