Rota las claves de la cuenta de servicio

Para rotar las claves de la cuenta de servicio en GKE en Bare Metal, actualiza las credenciales de clúster existentes con el comando bmctl. Esta rotación de claves de cuentas de servicio puede ser parte de tus procesos habituales para actualizar credenciales o en respuesta a una posible exposición de las claves. Cuando actualizas las credenciales del clúster, la información nueva se pasa a los clústeres híbridos o de administrador, o se enruta de forma automática a los clústeres de usuario afectados que administra un clúster de administrador.

Credenciales de clúster que se pueden actualizar

Los clústeres de GKE en Bare Metal requieren varias credenciales cuando se crean. Debes establecer las credenciales en la configuración del clúster cuando creas un clúster administrativo, independiente o híbrido. Un clúster de administrador (o un clúster híbrido que actúa como administrador) administra los clústeres de usuario, y volverá a usar las mismas credenciales del clúster de administrador.

Si deseas obtener más información para crear clústeres y diferentes tipos de clústeres, consulta Descripción general de la instalación: elige un modelo de implementación.

Puedes actualizar las siguientes credenciales y sus secretos correspondientes en GKE en clústeres de Bare Metal con el comando bmctl:

  • Clave privada SSH: Se usa para acceder a los nodos.
  • Clave de Container Registry (anthos-baremetal-gcr): Es la clave de cuenta de servicio que se usa para autenticarse con Container Registry para la extracción de imágenes.
  • Clave de cuenta de servicio del agente de Connect (anthos-baremetal-connect): Es la clave de la cuenta de servicio que usan los Pods del agente de Connect.
  • Conecta la clave de la cuenta de servicio del registro (anthos-baremetal-register): Es la clave de la cuenta de servicio que se usa para autenticarse con el Hub cuando se registra o se cancela el registro de un clúster.
  • Clave de cuenta de servicio de operaciones en la nube (anthos-baremetal-cloud-ops): Es la clave de cuenta de servicio para autenticar con las APIs de observabilidad (registro y supervisión) de Google Cloud.

Actualiza las credenciales con bmctl

Cuando creas clústeres, GKE en Bare Metal crea Secrets de Kubernetes basados en tus claves de credenciales. Si generas claves nuevas, debes actualizar los Secrets correspondientes como se describe en los siguientes pasos. Si el nombre o la ruta de acceso de tus claves cambian, también debes actualizar el archivo de configuración del clúster correspondiente.

  1. Prepara los valores nuevos de las credenciales que deseas actualizar:

    • Puedes generar nuevas claves de cuenta de servicio de Google a través del comando gcloud o mediante la consola de Google Cloud.

    • Genera una clave privada SSH nueva en la estación de trabajo de administrador y asegúrate de que las máquinas del nodo del clúster tengan la clave pública correspondiente.

  2. Actualiza la sección de credenciales del archivo de configuración del clúster con rutas de acceso a las claves nuevas.

  3. Actualiza los Secrets del clúster correspondientes con el comando bmctl update credentials y agrega las marcas apropiadas que se describen a continuación.

    Por ejemplo, aquí bmctl actualiza las credenciales para una clave privada SSH nueva, en la que ADMIN_KUBECONFIG especifica la ruta de acceso al kubeconfig del clúster de administrador, híbrido o independiente, SSH_KEY_PATH especifica la ruta a la nueva clave privada SSH y CLUSTER_NAME especifica el nombre del clúster:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path
    SSH_KEY_PATH --cluster CLUSTER_NAME
    

Puedes especificar las siguientes marcas con bmctl para actualizar las credenciales:

Flag description
--kubeconfig obligatoria, ruta a kubeconfig del administrador, híbrido o clúster independiente
--cluster obligatorio, nombre del clúster de administrador, híbrido o independiente
--ssh-private-key-path Ruta a la nueva clave privada SSH
--gcr-key-path Ruta a la nueva clave de cuenta de servicio de Container Registry
--gke-connect-agent-service-account-key-path Ruta de acceso a la nueva clave de cuenta de servicio del agente de Connect
--gke-connect-register-service-account-key-path Ruta de acceso a la nueva clave de cuenta de servicio de registro de Connect
--cloud-operations-service-account-key-path ruta de acceso a la nueva clave de cuenta de servicio de observabilidad de Google Cloud