Pour effectuer une rotation des clés de compte de service dans GKE sur une solution Bare Metal, vous devez mettre à jour les identifiants du cluster existants à l'aide de la commande bmctl. Cette rotation des clés de compte de service peut faire partie de vos processus habituels de mise à jour des identifiants ou en réponse à une exposition potentielle des clés. Lorsque vous mettez à jour les identifiants du cluster, les nouvelles informations sont transmises aux clusters d'administrateur ou hybrides, ou automatiquement acheminées vers les clusters d'utilisateur concernés gérés par un cluster d'administrateur.
Identifiants du cluster pouvant être mis à jour
Les clusters GKE sur Bare Metal nécessitent plusieurs identifiants lors de leur création. Vous définissez les identifiants dans la configuration du cluster lorsque vous créez un cluster d'administrateur, autonome ou hybride. Comme indiqué ci-dessus, les clusters d'utilisateur sont gérés par un cluster d'administrateur (ou un cluster hybride agissant en tant qu'administrateur) et réutilisent les mêmes identifiants que le cluster d'administrateur.
Pour en savoir plus sur la création de clusters et les différents types de clusters, consultez la section Présentation de l'installation : choisir un modèle de déploiement.
Vous pouvez mettre à jour les identifiants suivants et les secrets correspondants dans les clusters GKE sur Bare Metal à l'aide de la commande bmctl:
- Clé privée SSH: utilisée pour l'accès aux nœuds.
- Clé Container Registry (
anthos-baremetal-gcr): clé de compte de service permettant de s'authentifier auprès de Container Registry afin d'extraire des images. - Clé de compte de service d'agent Connect (
anthos-baremetal-connect): clé de compte de service utilisée par les pods d'agent Connect. - Clé de compte de service du registre de connexion (
anthos-baremetal-register): clé de compte de service permettant de s'authentifier auprès de Hub lors de l'enregistrement ou de l'annulation de l'enregistrement d'un cluster. - Clé de compte de service Cloud Operations (
anthos-baremetal-cloud-ops) : clé de compte de service pour l'authentification auprès des API d'observabilité (journalisation et surveillance) de Google Cloud.
Mettre à jour les identifiants avec bmctl
Lorsque vous créez des clusters, GKE sur Bare Metal crée des secrets Kubernetes en fonction de vos clés d'identifiants. Si vous générez de nouvelles clés, vous devez mettre à jour les secrets correspondants comme décrit dans les étapes suivantes. Si le nom ou le chemin d'accès à vos clés change, vous devez également mettre à jour le fichier de configuration de cluster correspondant.
Préparez les nouvelles valeurs des identifiants que vous souhaitez mettre à jour :
Vous pouvez générer de nouvelles clés de compte de service Google via la commande
gcloudou la console Google Cloud.Générez une nouvelle clé privée SSH sur le poste de travail administrateur et assurez-vous que les machines de nœud de cluster disposent de la clé publique correspondante.
Mettez à jour la section des identifiants du fichier de configuration de votre cluster avec les chemins d'accès aux nouvelles clés.
Mettez à jour les secrets de cluster correspondants à l'aide de la commande
bmctl update credentials, en ajoutant les options appropriées décrites ci-dessous.Par exemple, ici,
bmctlmet à jour les identifiants d'une nouvelle clé privée SSH, où ADMIN_KUBECONFIG spécifie le chemin d'accès au fichier kubeconfig du cluster d'administrateur, hybride ou autonome, SSH_KEY_PATH spécifie le chemin d'accès à la nouvelle clé privée SSH, et CLUSTER_NAME spécifie le nom du cluster:bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path SSH_KEY_PATH --cluster CLUSTER_NAME
Vous pouvez spécifier les options suivantes avec bmctl pour mettre à jour les identifiants :
| Option | description |
|---|---|
--kubeconfig |
obligatoire, chemin d'accès au fichier kubeconfig du cluster d'administrateur, hybride ou autonome |
--cluster |
obligatoire, nom de l'administrateur, du cluster hybride ou autonome |
--ssh-private-key-path |
chemin d'accès à la nouvelle clé privée SSH |
--gcr-key-path |
chemin d'accès à la nouvelle clé de compte de service Container Registry |
--gke-connect-agent-service-account-key-path |
chemin d'accès à la nouvelle clé de compte de service de l'agent Connect |
--gke-connect-register-service-account-key-path |
chemin d'accès à la nouvelle clé de compte de service de l'enregistrement Connect |
--cloud-operations-service-account-key-path |
Chemin d'accès à la nouvelle clé de compte de service d'observabilité Google Cloud |