Per ruotare le chiavi degli account di servizio in GKE su Bare Metal, aggiorna le credenziali del cluster esistenti con il comando bmctl. Questa rotazione della chiave dell'account di servizio potrebbe far parte dei normali processi di aggiornamento delle credenziali o in risposta a una potenziale esposizione delle chiavi. Quando aggiorni le credenziali dei cluster, le nuove informazioni vengono passate ai cluster di amministrazione o ibridi oppure instradate automaticamente ai cluster utente interessati, gestiti da un cluster di amministrazione.
Credenziali del cluster che possono essere aggiornate
I cluster GKE su Bare Metal richiedono più credenziali al momento della creazione. Puoi impostare le credenziali nella configurazione del cluster quando crei un cluster di amministrazione, autonomo o ibrido. I cluster utente, come indicato sopra, sono gestiti da un cluster di amministrazione (o da un cluster ibrido che funge da amministratore) e riutilizzano le stesse credenziali presenti nel cluster di amministrazione.
Per saperne di più sulla creazione di cluster e diversi tipi di cluster, consulta Panoramica dell'installazione: scelta di un modello di deployment.
Puoi aggiornare le seguenti credenziali e i secret corrispondenti nei cluster GKE su Bare Metal con il comando bmctl:
- Chiave privata SSH: utilizzata per l'accesso ai nodi.
- Chiave di Container Registry (
anthos-baremetal-gcr): chiave dell'account di servizio utilizzata per l'autenticazione con Container Registry per il pull delle immagini. - Connetti la chiave dell'account di servizio dell'agente
(
anthos-baremetal-connect): chiave dell'account di servizio utilizzata dai pod dell'agente di connessione. - Connetti la chiave dell'account di servizio del registry (
anthos-baremetal-register): la chiave dell'account di servizio utilizzata per l'autenticazione con l'hub durante la registrazione o l'annullamento della registrazione di un cluster. - Chiave account di servizio Cloud Operations (
anthos-baremetal-cloud-ops): chiave dell'account di servizio per l'autenticazione con le API Google Cloud Observability (logging e monitoraggio).
Aggiorna le credenziali con bmctl
Quando crei i cluster, GKE su Bare Metal crea Secret di Kubernetes in base alle tue chiavi delle credenziali. Se generi nuove chiavi, devi aggiornare i secret corrispondenti, come descritto nei passaggi seguenti. Se il nome o il percorso delle chiavi cambia, devi aggiornare anche il file di configurazione del cluster corrispondente.
Prepara i nuovi valori per le credenziali che vuoi aggiornare:
Puoi generare nuove chiavi dell'account di servizio Google tramite il comando
gcloudo la console Google Cloud.Genera una nuova chiave privata SSH sulla workstation di amministrazione e assicurati che le macchine dei nodi del cluster dispongano della chiave pubblica corrispondente.
Aggiorna la sezione delle credenziali del file di configurazione del cluster con i percorsi alle nuove chiavi.
Aggiorna i secret del cluster corrispondenti con il comando
bmctl update credentials, aggiungendo i flag appropriati descritti di seguito.Ad esempio, qui
bmctlaggiorna le credenziali per una nuova chiave privata SSH, dove ADMIN_KUBECONFIG specifica il percorso del kubeconfig del cluster di amministrazione, ibrido o autonomo, SSH_KEY_PATH specifica il percorso della nuova chiave privata SSH e CLUSTER_NAME specifica il nome del cluster:bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path SSH_KEY_PATH --cluster CLUSTER_NAME
Puoi specificare i seguenti flag con bmctl per aggiornare le credenziali:
| Flag | description |
|---|---|
--kubeconfig |
obbligatorio, percorso al file kubeconfig del cluster di amministrazione, ibrido o autonomo |
--cluster |
obbligatorio, il nome del cluster di amministrazione, ibrido o autonomo |
--ssh-private-key-path |
percorso della nuova chiave privata SSH |
--gcr-key-path |
percorso della nuova chiave dell'account di servizio Container Registry |
--gke-connect-agent-service-account-key-path |
percorso della nuova chiave dell'account di servizio dell'agente Connect |
--gke-connect-register-service-account-key-path |
percorso della nuova chiave dell'account di servizio del registro di Connect |
--cloud-operations-service-account-key-path |
percorso della nuova chiave dell'account di servizio Google Cloud Observability |