Los clústeres de Anthos en equipos físicos usan certificados y claves privadas para autenticar y encriptar conexiones entre los componentes del sistema en clústeres de usuario. La autoridad certificadora (CA) del clúster administra estos certificados y claves. Cuando ejecutas el comando bmctl update credentials --cluster-ca, los clústeres de Anthos en equipos físicos realizan las siguientes acciones:
Crea y sube una autoridad certificadora de clúster nueva al espacio de nombres del clúster de usuario en el clúster de administrador.
Los controladores del clúster de administrador reemplazan la autoridad certificadora del clúster de usuario por la autoridad certificada recién generada.
Los controladores del clúster de administrador distribuyen los nuevos certificados de CA públicos y los pares de claves de certificado de hoja a los componentes del sistema del clúster de usuario.
Para mantener la comunicación segura del clúster, rota la CA del clúster de usuario de forma periódica y siempre que haya una posible violación de la seguridad.
Antes de comenzar
Antes de rotar la autoridad certificadora de tu clúster de usuario, planifica según las siguientes condiciones y su impacto:
Asegúrate de que los clústeres de administrador y de usuario estén en la versión 1.8.2 o superior antes de iniciar la rotación de la CA del clúster de usuario.
La rotación de la CA del clúster de usuario es incremental, lo que permite que los componentes del sistema se comuniquen durante la rotación.
El proceso de rotación del clúster de usuario reinicia el servidor de la API, los procesos del plano de control y los Pods en el clúster de usuario.
Se espera que las cargas de trabajo se reinicien y se reprogramen durante la rotación de la CA.
Para las opciones de configuración de clústeres que no tienen alta disponibilidad, puedes esperar períodos breves de tiempo de inactividad del plano de control durante la rotación de las CA.
No se permiten operaciones de administración de clústeres de usuarios durante la rotación de la CA.
La duración de la rotación de la CA del clúster de usuario depende del tamaño de tu clúster. Por ejemplo, la rotación de la CA del clúster de usuario puede tardar cerca de dos horas en completarse en un clúster de usuario con un plano de control y 50 nodos trabajadores.
Limitaciones
En la vista previa, la capacidad de rotación de la autoridad certificadora del clúster de usuario tiene las siguientes limitaciones:
La rotación de la CA del clúster solo es compatible con los clústeres de usuario.
La rotación de la CA del clúster de usuario se limita solo a la CA del clúster. La rotación de la CA del clúster de usuario no rota la CA de etcd o la CA de proxy principal para el clúster de usuario.
La rotación de CA del clúster de usuario no actualiza los certificados que emite un administrador de forma manual, incluso si la CA del clúster firma los certificados. Actualiza y redistribuye los certificados emitidos de forma manual después de que se complete la rotación de la CA del clúster de usuario.
Una vez iniciada, la rotación de la CA del clúster de usuario no se puede pausar ni revertir.
La rotación de la CA del clúster es una función de vista previa, y sus interfaces y operaciones están sujetas a cambios.
Inicia una rotación de CA del clúster
Usa el siguiente comando para iniciar el proceso de rotación de la CA:
bmctl update credentials --cluster-ca --cluster-name USER_CLUSTER_NAME \
--kubeconfig ADMIN_KUBECONFIG
Reemplaza lo siguiente:
USER_CLUSTER_NAMEes el nombre del clúster de usuario.ADMIN_KUBECONFIGes la ruta al archivo kubeconfig del clúster de administrador.
El comando de bmctl se cierra después de que la CA del clúster se rota con éxito y se genera un archivo kubeconfig nuevo. La ruta estándar para el archivo kubeconfig es bmctl-workspace/USER_CLUSTER_NAME/USER_CLUSTER_NAME-kubeconfig.
Soluciona problemas de rotación de la CA de clústeres
El comando bmctl update credentials muestra el progreso de la rotación de la CA. El archivo update-credentials.log asociado se guarda en el siguiente directorio con marca de tiempo:
bmctl-workspace/USER_CLUSTER_NAME/log/update-credentials-TIMESTAMP