Version 1.15 Diese Version wird nicht mehr unterstützt. Informationen zum Upgrade auf Version 1.16 finden Sie in der aktuellen Dokumentation unter Cluster upgraden. Weitere Informationen zu unterstützten und nicht unterstützten Versionen finden Sie in der aktuellen Dokumentation auf der Seite Versionsverlauf.

Dienstkontoschlüssel rotieren

Zum Rotieren der Dienstkontoschlüssel in GKE on Bare Metal aktualisieren Sie die vorhandenen Clusteranmeldedaten mit dem Befehl bmctl. Diese Dienstkontoschlüsselrotation kann im Rahmen Ihrer regulären Prozesse zum Aktualisieren von Anmeldedaten oder als Reaktion auf eine mögliche Offenlegung der Schlüssel erfolgen. Wenn Sie Clusteranmeldedaten aktualisieren, werden die neuen Informationen an Administrator- oder Hybridcluster übergeben oder automatisch an betroffene Nutzercluster weitergeleitet, die von einem Administratorcluster verwaltet werden.

Cluster-Anmeldedaten, die aktualisiert werden können.

Für GKE on Bare Metal-Cluster sind mehrere Anmeldedaten erforderlich, wenn sie erstellt werden. Sie legen die Anmeldedaten in der Clusterkonfiguration fest, wenn Sie einen Administrator-, eigenständigen oder hybriden Cluster erstellen. Nutzercluster wie oben beschrieben werden von einem Administratorcluster oder einem Hybridcluster verwaltet und verwenden dieselben Anmeldedaten vom Administrator-Cluster.

Weitere Informationen zum Erstellen von Clustern und verschiedenen Clustertypen finden Sie in der Installationsübersicht: Bereitstellungsmodell auswählen.

Sie können die folgenden Anmeldedaten und die zugehörigen Secrets in GKE on Bare Metal-Clustern mit dem Befehl bmctl aktualisieren:

Privater SSH-Schlüssel: Wird für den Knotenzugriff verwendet.
Container Registry-Schlüssel (anthos-baremetal-gcr): Dienstkontoschlüssel, der zur Authentifizierung bei Container Registry für den Image-Abruf verwendet wird.
Connect-Agent-Dienstkontoschlüssel (anthos-baremetal-connect): Dienstkontoschlüssel, der von Connect Agent-Pods verwendet wird.
Registry-Dienstkontoschlüssel verbinden (anthos-baremetal-register): Dienstkontoschlüssel, der zur Authentifizierung bei Hub beim Registrieren oder Aufheben der Registrierung eines Clusters verwendet wird.
Dienstkontoschlüssel für Cloud-Vorgänge (anthos-baremetal-cloud-ops): Dienstkontoschlüssel zur Authentifizierung bei den Google Cloud-APIs für Beobachtbarkeit (Logging und Monitoring)

Anmeldedaten mit `bmctl` aktualisieren

Wenn Sie Cluster erstellen, erstellt GKE on Bare Metal Kubernetes-Secrets anhand Ihrer Anmeldedatenschlüssel. Wenn Sie neue Schlüssel generieren, müssen Sie die entsprechenden Secrets wie in den folgenden Schritten beschrieben aktualisieren. Wenn sich der Name oder Pfad zu Ihren Schlüsseln ändert, müssen Sie auch die entsprechende Clusterkonfigurationsdatei aktualisieren.

Bereiten Sie die neuen Werte für die Anmeldedaten vor, die Sie aktualisieren möchten:
- Mit dem Befehl gcloud oder der Google Cloud Console können Sie neue Google-Dienstkontoschlüssel generieren.
- Generieren Sie einen neuen privaten SSH-Schlüssel auf der Administratorworkstation und achten Sie darauf, dass die Maschinen mit Clusterknoten den entsprechenden öffentlichen Schlüssel haben.
Aktualisieren Sie den Bereich „Anmeldedaten“ der Clusterkonfigurationsdatei mit den Pfaden zu den neuen Schlüsseln.
Aktualisieren Sie die entsprechenden Cluster-Secrets mit dem Befehl bmctl update credentials und fügen Sie die unten beschriebenen Flags hinzu.

Hier aktualisiert bmctl beispielsweise die Anmeldedaten für einen neuen privaten SSH-Schlüssel, wobei ADMIN_KUBECONFIG den Pfad zur kubeconfig-Datei des Administrator-, Hybrid- oder eigenständigen Clusters angibt, SSH_KEY_PATH den Pfad zum neuen privaten SSH-Schlüssel und CLUSTER_NAME den Namen des Clusters angibt:
```
bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path
SSH_KEY_PATH --cluster CLUSTER_NAME
```

Mit den folgenden Flags können Sie mit bmctl die Anmeldedaten aktualisieren:

Flag	Beschreibung
`--kubeconfig`	erforderlich, Pfad zur kubeconfig des Administrator-, Hybrid- oder eigenständigen Clusters
`--cluster`	erforderlich, Name des Administrator-, Hybrid- oder eigenständigen Clusters
`--ssh-private-key-path`	Pfad zum neuen privaten SSH-Schlüssel
`--gcr-key-path`	Pfad zum neuen Container Registry-Dienstkontoschlüssel
`--gke-connect-agent-service-account-key-path`	Pfad zum neuen Dienstkontoschlüssel des Connect-Agent
`--gke-connect-register-service-account-key-path`	Pfad zum neuen Connect-Register-Dienstkontoschlüssel
`--cloud-operations-service-account-key-path`	Pfad zum neuen Dienstkontoschlüssel für Google Cloud-Beobachtbarkeit

Dienstkontoschlüssel rotieren

Cluster-Anmeldedaten, die aktualisiert werden können.

Anmeldedaten mit bmctl aktualisieren

Anmeldedaten mit `bmctl` aktualisieren