Untuk merotasi kunci akun layanan di GKE pada Bare Metal, perbarui kredensial cluster yang ada dengan perintah bmctl. Rotasi kunci
akun layanan ini mungkin menjadi bagian dari proses reguler Anda untuk memperbarui kredensial, atau sebagai
respons terhadap potensi eksposur kunci. Saat Anda memperbarui kredensial
cluster, informasi baru akan diteruskan ke admin atau cluster hybrid, atau
secara otomatis dirutekan ke cluster pengguna yang terpengaruh yang dikelola oleh cluster admin.
Kredensial cluster yang dapat diperbarui
GKE pada cluster Bare Metal memerlukan beberapa kredensial saat dibuat. Anda perlu menetapkan kredensial dalam konfigurasi cluster saat membuat cluster admin, mandiri, atau hybrid. Cluster pengguna, seperti disebutkan di atas, dikelola oleh cluster admin (atau cluster campuran yang bertindak sebagai admin), dan akan menggunakan kembali kredensial yang sama dari cluster admin.
Untuk mengetahui informasi selengkapnya mengenai pembuatan cluster dan berbagai jenis cluster, lihat Ringkasan penginstalan: memilih model deployment.
Anda dapat memperbarui kredensial berikut dan secret yang sesuai, di GKE pada cluster Bare Metal dengan perintah bmctl:
- Kunci pribadi SSH: Digunakan untuk akses node.
- Kunci Container Registry (
anthos-baremetal-gcr): Kunci akun layanan yang digunakan untuk melakukan autentikasi dengan Container Registry untuk pengambilan image. - Hubungkan kunci akun layanan agen
(
anthos-baremetal-connect): Kunci akun layanan yang digunakan oleh pod agen Connect. - Hubungkan kunci akun layanan registry
(
anthos-baremetal-register): Kunci akun layanan yang digunakan untuk melakukan autentikasi dengan Hub saat mendaftarkan atau membatalkan pendaftaran cluster. - Kunci akun layanan operasi cloud (
anthos-baremetal-cloud-ops): Kunci akun layanan untuk melakukan autentikasi dengan API Kemampuan observasi (logging & pemantauan) Google Cloud.
Perbarui kredensial dengan bmctl
Saat Anda membuat cluster, GKE di Bare Metal membuat Secret Kubernetes berdasarkan kunci kredensial Anda. Jika membuat kunci baru, Anda harus memperbarui Secret yang sesuai seperti yang dijelaskan pada langkah-langkah berikut. Jika nama atau jalur ke kunci berubah, Anda juga harus memperbarui file konfigurasi cluster yang sesuai.
Siapkan nilai baru untuk kredensial yang ingin diperbarui:
Anda dapat membuat kunci akun layanan Google baru melalui perintah
gcloudatau melalui konsol Google Cloud.Buat kunci pribadi SSH baru di workstation admin dan pastikan mesin node cluster memiliki kunci publik yang sesuai.
Perbarui bagian kredensial file konfigurasi cluster Anda dengan jalur ke kunci baru.
Update Secret cluster yang sesuai dengan perintah
bmctl update credentials, dengan menambahkan flag yang sesuai seperti yang dijelaskan di bawah.Misalnya, di sini
bmctlmemperbarui kredensial untuk kunci pribadi SSH baru, dengan ADMIN_KUBECONFIG menentukan jalur ke kubeconfig admin, hybrid, atau cluster mandiri, SSH_KEY_PATH menentukan jalur ke kunci pribadi SSH yang baru, dan CLUSTER_NAME menentukan nama cluster:bmctl update credentials --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path SSH_KEY_PATH --cluster CLUSTER_NAME
Anda dapat menentukan flag berikut dengan bmctl untuk memperbarui kredensial:
| Tanda | deskripsi |
|---|---|
--kubeconfig |
wajib, jalur ke kubeconfig admin, hybrid, atau cluster mandiri |
--cluster |
wajib, nama admin, cluster hybrid, atau yang berdiri sendiri |
--ssh-private-key-path |
jalur ke kunci pribadi SSH yang baru |
--gcr-key-path |
jalur ke kunci akun layanan Container Registry yang baru |
--gke-connect-agent-service-account-key-path |
jalur ke kunci akun layanan agen Connect baru |
--gke-connect-register-service-account-key-path |
jalur ke kunci akun layanan pendaftaran Connect yang baru |
--cloud-operations-service-account-key-path |
jalur ke kunci akun layanan Kemampuan Observasi Google Cloud yang baru |