Rotacionar as autoridades certificadoras do cluster de usuário

Os clusters do Anthos em bare metal usam certificados e chaves privadas para autenticar e criptografar conexões entre componentes do sistema em clusters de usuários. A autoridade certificadora (CA, na sigla em inglês) do cluster gerencia esses certificados e chaves. Quando você executa o comando bmctl update credentials --cluster-ca, os clusters do Anthos em bare metal:

  • criam e fazem upload de uma nova autoridade certificadora de cluster para o namespace do cluster de usuário no cluster de administrador;

  • os controladores do cluster de administrador substituem a autoridade certificadora do cluster de usuário pela autoridade certificadora recém-gerada;

  • os controladores do cluster de administrador distribuem os novos certificados de CA públicos e pares de chaves de certificado de folha para os componentes do sistema do cluster de usuário.

Para manter a comunicação segura no cluster, rotacione a CA do cluster de usuário periodicamente e sempre que houver uma possível violação de segurança.

Antes de começar

Antes de rotacionar a autoridade certificadora do cluster de usuário, planeje de acordo com as seguintes condições e impactos:

  • Verifique se os clusters de administrador e de usuário estão na versão 1.8.2 ou superior antes de iniciar a rotação de CA do cluster de usuário.

  • A rotação da CA do cluster de usuário é incremental, permitindo que os componentes do sistema se comuniquem durante a rotação.

  • O processo de rotação do cluster de usuário reinicia o servidor da API, os processos do plano de controle e os pods no cluster de usuário.

  • Espere que as cargas de trabalho sejam reiniciadas e reprogramadas durante a rotação da CA.

  • Para configurações de cluster que não sejam de alta disponibilidade, espere breves períodos de inatividade no plano de controle durante a rotação da CA.

  • As operações de gerenciamento de cluster de usuário não são permitidas durante a rotação da CA.

  • A duração da rotação da CA do cluster de usuário depende do tamanho do cluster. Por exemplo, a rotação da CA do cluster de usuário pode levar quase duas horas para ser concluída para um cluster de usuário com um plano de controle e 50 nós de trabalho.

Limitações

Durante a visualização, o recurso de rotação da autoridade certificadora do cluster de usuário tem estas limitações:

  • a rotação da CA do cluster é compatível apenas com clusters de usuários;

  • a rotação da CA do cluster de usuário é limitada apenas à CA do cluster; a rotação da CA do cluster de usuário não rotaciona a CA do etcd ou do proxy frontal para o cluster de usuário;

  • a rotação da CA do cluster de usuário não atualiza os certificados emitidos manualmente por um administrador, mesmo se a CA do cluster assinar os certificados. Atualize e redistribua quaisquer certificados emitidos manualmente após a conclusão da rotação da CA do cluster de usuário;

  • depois de iniciada, a rotação da CA do cluster de usuário não pode ser pausada ou revertida;

  • a rotação da CA do cluster é um recurso de visualização, e as interfaces e operações dele estão sujeitas a alterações.

Iniciar uma rotação da CA do cluster

Use este comando para iniciar o processo de rotação da CA:

bmctl update credentials --cluster-ca --cluster-name USER_CLUSTER_NAME \
    --kubeconfig ADMIN_KUBECONFIG

Substitua:

  • USER_CLUSTER_NAME: o nome do cluster do usuário.
  • ADMIN_KUBECONFIG: o caminho até o arquivo kubeconfig do cluster de administrador.

O comando bmctl é encerrado depois que a CA do cluster é rotacionada com êxito e um novo arquivo kubeconfig é gerado. O caminho padrão para o arquivo kubeconfig é bmctl-workspace/USER_CLUSTER_NAME/USER_CLUSTER_NAME-kubeconfig.

Solução de problemas de rotação da CA do cluster

O comando bmctl update credentials exibe o progresso da rotação da CA do cluster. O arquivo update-credentials.log associado é salvo neste diretório com carimbo de data/hora:

bmctl-workspace/USER_CLUSTER_NAME/log/update-credentials-TIMESTAMP