Les clusters Anthos sur Bare Metal utilisent des certificats et des clés privées pour authentifier et chiffrer les connexions entre les composants système des clusters d'utilisateurs. L'autorité de certification du cluster gère ces certificats et clés. Lorsque vous exécutez la commande bmctl update credentials --cluster-ca, les clusters Anthos sur solution Bare Metal effectuent les actions suivantes :
Crée et importe une autorité de certification de cluster dans l'espace de noms du cluster d'utilisateur dans le cluster d'administrateur.
Les contrôleurs de cluster d'administrateur remplacent l'autorité de certification du cluster d'utilisateur par la nouvelle autorité de certification générée.
Les contrôleurs de cluster d'administrateur distribuent les nouveaux certificats d'autorité de certification publique et les paires de clés de certificat du serveur aux composants du système de cluster d'utilisateur.
Pour maintenir une communication sécurisée entre les clusters, faites tourner régulièrement l'autorité de certification de votre cluster d'utilisateur chaque fois qu'il existe une brèche de sécurité possible.
Avant de commencer
Avant d'effectuer la rotation de votre autorité de certification de cluster d'utilisateur, planifiez en fonction des conditions et des impacts suivants :
Assurez-vous que les clusters d'administrateur et d'utilisateur sont à la version 1.8.2 ou ultérieure avant de démarrer la rotation de l'autorité de certification du cluster d'utilisateur.
La rotation des autorités de certification du cluster d'utilisateur est incrémentielle, ce qui permet aux composants système de communiquer pendant la rotation.
Le processus de rotation des clusters d'utilisateur redémarre le serveur d'API, les processus du plan de contrôle et les pods du cluster d'utilisateur.
Les charges de travail vont redémarrer et être replanifiées lors de la rotation des autorités de certification.
Pour les configurations de cluster à haute disponibilité, attendez-vous à de brèves périodes d'indisponibilité du plan de contrôle lors de la rotation de l'autorité de certification.
Les opérations de gestion des clusters d'utilisateur ne sont pas autorisées lors de la rotation de l'autorité de certification.
La durée de rotation de l'autorité de certification du cluster d'utilisateur dépend de la taille de votre cluster. Par exemple, la rotation des autorités de certification de cluster d'utilisateur peut prendre près de deux heures pour un cluster d'utilisateur comportant un plan de contrôle et 50 nœuds de calcul.
Limites
Dans l'aperçu, la fonctionnalité de rotation des autorités de certification du cluster d'utilisateur présente les limitations suivantes :
La rotation des autorités de certification de cluster n'est compatible qu'avec les clusters d'utilisateur.
La rotation des autorités de certification du cluster d'utilisateur est limitée à l'autorité de certification du cluster. La rotation des autorités de certification du cluster d'utilisateur n'effectue pas la rotation de l'autorité de certification etcd ou de l'autorité de certification de proxy frontal pour votre cluster d'utilisateur.
La rotation des autorités de certification du cluster d'utilisateur ne met pas à jour les certificats émis manuellement par un administrateur, même si l'autorité de certification du cluster signe les certificats. Mettez à jour et redistribuez les certificats émis manuellement une fois la rotation de l'autorité de certification du cluster d'utilisateur terminée.
Une fois démarrée, la rotation de l'autorité de certification du cluster d'utilisateur ne peut pas être suspendue ou annulée.
La rotation des autorités de certification de cluster est une fonctionnalité bêta dont les interfaces et les opérations sont susceptibles d'être modifiées.
Démarrer une rotation des autorités de certification de cluster
Utilisez la commande suivante pour démarrer le processus de rotation de l'autorité de certification :
bmctl update credentials --cluster-ca --cluster-name USER_CLUSTER_NAME \
--kubeconfig ADMIN_KUBECONFIG
Remplacez les éléments suivants :
USER_CLUSTER_NAME: nom du cluster d'utilisateur.ADMIN_KUBECONFIG: chemin d'accès au fichier kubeconfig du cluster d'administrateur.
La commande bmctl se ferme après la rotation de l'autorité de certification du cluster et la génération d'un nouveau fichier kubeconfig. Le chemin d'accès standard pour le fichier kubeconfig est bmctl-workspace/USER_CLUSTER_NAME/USER_CLUSTER_NAME-kubeconfig.
Résoudre les problèmes liés à la rotation des autorités de certification de cluster
La commande bmctl update credentials affiche la progression de la rotation de l'autorité de certification du cluster. Le fichier update-credentials.log associé est enregistré dans le répertoire horodaté suivant :
bmctl-workspace/USER_CLUSTER_NAME/log/update-credentials-TIMESTAMP