Zum Rotieren der Dienstkontoschlüssel in GKE on Bare Metal aktualisieren Sie die vorhandenen Clusteranmeldedaten mit dem Befehl bmctl
. Diese Dienstkontoschlüsselrotation kann im Rahmen Ihrer regulären Prozesse zum Aktualisieren von Anmeldedaten oder als Reaktion auf eine mögliche Offenlegung der Schlüssel erfolgen. Wenn Sie Clusteranmeldedaten aktualisieren, werden die neuen Informationen an Administrator- oder Hybridcluster übergeben oder automatisch an betroffene Nutzercluster weitergeleitet, die von einem Administratorcluster verwaltet werden.
Cluster-Anmeldedaten, die aktualisiert werden können.
Für GKE on Bare Metal-Cluster sind mehrere Anmeldedaten erforderlich, wenn sie erstellt werden. Sie legen die Anmeldedaten in der Clusterkonfiguration fest, wenn Sie einen Administrator-, eigenständigen oder hybriden Cluster erstellen. Nutzercluster wie oben beschrieben werden von einem Administratorcluster oder einem Hybridcluster verwaltet und verwenden dieselben Anmeldedaten vom Administrator-Cluster.
Weitere Informationen zum Erstellen von Clustern und verschiedenen Clustertypen finden Sie in der Installationsübersicht: Bereitstellungsmodell auswählen.
Sie können die folgenden Anmeldedaten und die zugehörigen Secrets in GKE on Bare Metal-Clustern mit dem Befehl bmctl
aktualisieren:
- Privater SSH-Schlüssel: Wird für den Knotenzugriff verwendet.
- Container Registry-Schlüssel (
anthos-baremetal-gcr
): Dienstkontoschlüssel, der zur Authentifizierung bei Container Registry für den Image-Abruf verwendet wird. - Connect-Agent-Dienstkontoschlüssel (
anthos-baremetal-connect
): Dienstkontoschlüssel, der von Connect Agent-Pods verwendet wird. - Registry-Dienstkontoschlüssel verbinden (
anthos-baremetal-register
): Dienstkontoschlüssel, der zur Authentifizierung bei Hub beim Registrieren oder Aufheben der Registrierung eines Clusters verwendet wird. - Dienstkontoschlüssel für Cloud-Vorgänge (
anthos-baremetal-cloud-ops
): Dienstkontoschlüssel zur Authentifizierung bei den Google Cloud-APIs für Beobachtbarkeit (Logging und Monitoring)
Anmeldedaten mit bmctl
aktualisieren
Wenn Sie Cluster erstellen, erstellt GKE on Bare Metal Kubernetes-Secrets anhand Ihrer Anmeldedatenschlüssel. Wenn Sie neue Schlüssel generieren, müssen Sie die entsprechenden Secrets wie in den folgenden Schritten beschrieben aktualisieren. Wenn sich der Name oder Pfad zu Ihren Schlüsseln ändert, müssen Sie auch die entsprechende Clusterkonfigurationsdatei aktualisieren.
Bereiten Sie die neuen Werte für die Anmeldedaten vor, die Sie aktualisieren möchten:
Mit dem Befehl
gcloud
oder der Google Cloud Console können Sie neue Google-Dienstkontoschlüssel generieren.Generieren Sie einen neuen privaten SSH-Schlüssel auf der Administratorworkstation und achten Sie darauf, dass die Maschinen mit Clusterknoten den entsprechenden öffentlichen Schlüssel haben.
Aktualisieren Sie den Bereich „Anmeldedaten“ der Clusterkonfigurationsdatei mit den Pfaden zu den neuen Schlüsseln.
Aktualisieren Sie die entsprechenden Cluster-Secrets mit dem Befehl
bmctl update credentials
und fügen Sie die unten beschriebenen Flags hinzu.Hier aktualisiert
bmctl
beispielsweise die Anmeldedaten für einen neuen privaten SSH-Schlüssel, wobei ADMIN_KUBECONFIG den Pfad zur kubeconfig-Datei des Administrator-, Hybrid- oder eigenständigen Clusters angibt, SSH_KEY_PATH den Pfad zum neuen privaten SSH-Schlüssel und CLUSTER_NAME den Namen des Clusters angibt:bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path SSH_KEY_PATH --cluster CLUSTER_NAME
Mit den folgenden Flags können Sie mit bmctl
die Anmeldedaten aktualisieren:
Flag | Beschreibung |
---|---|
--kubeconfig |
erforderlich, Pfad zur kubeconfig des Administrator-, Hybrid- oder eigenständigen Clusters |
--cluster |
erforderlich, Name des Administrator-, Hybrid- oder eigenständigen Clusters |
--ssh-private-key-path |
Pfad zum neuen privaten SSH-Schlüssel |
--gcr-key-path |
Pfad zum neuen Container Registry-Dienstkontoschlüssel |
--gke-connect-agent-service-account-key-path |
Pfad zum neuen Dienstkontoschlüssel des Connect-Agent |
--gke-connect-register-service-account-key-path |
Pfad zum neuen Connect-Register-Dienstkontoschlüssel |
--cloud-operations-service-account-key-path |
Pfad zum neuen Dienstkontoschlüssel für Google Cloud-Beobachtbarkeit |