Anthos-Cluster auf Bare-Metal verwenden Zertifikate und private Schlüssel, um Verbindungen zwischen Systemkomponenten in Nutzerclustern zu authentifizieren und zu verschlüsseln. Die Cluster-Zertifizierungsstelle (CA) verwaltet diese Zertifikate und Schlüssel. Wenn Sie den Befehl bmctl update credentials --cluster-ca ausführen, führt Anthos-Cluster auf Bare-Metal die folgenden Aktionen aus:
Erstellt eine neue Cluster-Zertifizierungsstelle und lädt sie in den Nutzercluster-Namespace im Administratorcluster hoch.
Die Administratorcluster-Controller ersetzen die Nutzercluster-Zertifizierungsstelle durch die neu generierte Zertifizierungsstelle.
Die Administratorcluster-Controller verteilen die neuen öffentlichen CA-Zertifikate und Blattzertifikat-Schlüsselpaare an Nutzercluster-Systemkomponenten.
Für eine sichere Clusterkommunikation sollten Sie die Zertifizierungsstelle Ihres Nutzerclusters regelmäßig und bei einem möglichen Sicherheitsverstoß rotieren.
Hinweis
Planen Sie vor dem Rotieren der Nutzercluster-Zertifizierungsstelle die folgenden Bedingungen und Auswirkungen:
Prüfen Sie, ob die Administrator- und Nutzercluster mindestens die Version 1.8.2 haben, bevor Sie die CA-Rotation des Nutzerclusters starten.
Die Rotation von Nutzercluster-CAs ist inkrementell, sodass Systemkomponenten während der Rotation kommunizieren können.
Durch die Nutzercluster-Rotation wird der API-Server und die Prozesse der Steuerungsebene im nächsten Cluster neu gestartet.
Sie können davon ausgehen, dass Arbeitslasten während der CA-Rotation neu gestartet und neu geplant werden.
Bei Nicht-Hochverfügbarkeits-Clusterkonfigurationen sollten Sie kurze Zeiträume der Ausfallzeit der Steuerungsebene während der CA-Rotation erwarten.
Verwaltungsvorgänge von Nutzerclustern sind während der CA-Rotation nicht zulässig.
Die Dauer der CA-Rotation durch den Nutzer hängt von der Größe des Clusters ab. Beispielsweise kann die Rotation von Nutzercluster-CAs für einen Nutzercluster mit einer Steuerungsebene und 50 Worker-Knoten fast zwei Stunden dauern.
Beschränkungen
In der Vorschau unterliegt die Rotationsfunktion der Nutzercluster-Zertifizierungsstelle den folgenden Einschränkungen:
Die Cluster-CA-Rotation wird nur für Nutzercluster unterstützt.
Die Rotation von Nutzercluster-CAs ist nur auf die Cluster-CA beschränkt. Nutzercluster-CA-Rotation wird nicht die etcd-Zertifizierungsstelle oder die Front-Proxy-Zertifizierungsstelle für Ihren Nutzercluster rotiert.
Nutzercluster-CA-Rotation aktualisiert keine manuell von einem Administrator ausgestellten Zertifikate, auch wenn die Zertifizierungsstelle die Zertifikate signiert. Aktualisieren und verteilen Sie alle manuell ausgestellten Zertifikate nach Abschluss der Rotation der Nutzercluster-CA
Nach dem Start kann die CA-Rotation von Nutzern nicht mehr pausiert oder zurückgesetzt werden.
Die Rotation von Cluster-CA ist eine Vorschaufunktion und ihre Schnittstellen und Vorgänge können sich ändern.
Cluster-CA-Rotation starten
Verwenden Sie den folgenden Befehl, um den CA-Rotationsprozess zu starten:
bmctl update credentials --cluster-ca --cluster-name USER_CLUSTER_NAME \
--kubeconfig ADMIN_KUBECONFIG
Ersetzen Sie Folgendes:
USER_CLUSTER_NAME: Der Name des Nutzerclusters.ADMIN_KUBECONFIG: Der Pfad zur Datei „kubeconfig“ des Administratorclusters.
Der Befehl bmctl wird beendet, nachdem die Clusterzertifizierungsstelle erfolgreich rotiert wurde und eine neue kubeconfig-Datei generiert wird. Der Standardpfad für die kubeconfig-Datei ist bmctl-workspace/USER_CLUSTER_NAME/USER_CLUSTER_NAME-kubeconfig.
Fehlerbehebung bei Cluster-CA-Rotation
Der Befehl bmctl update credentials zeigt den Fortschritt der CA-Rotation des Clusters an. Die zugehörige Datei update-credentials.log wird im folgenden Verzeichnis mit Zeitstempel gespeichert:
bmctl-workspace/USER_CLUSTER_NAME/log/update-credentials-TIMESTAMP