Como atualizar secrets e credenciais de cluster

É possível atualizar as credenciais de cluster atuais em clusters do Anthos em bare metal com o comando bmctl. Quando você atualiza as credenciais do cluster, as novas informações são transmitidas para clusters administrativos ou clusters híbridos ou roteadas automaticamente para os clusters de usuário afetados gerenciados por um cluster de administração.

Credenciais de cluster que podem ser atualizadas

Os clusters do Anthos em bare metal requerem várias credenciais quando eles são criados. Você define as credenciais na configuração do cluster quando cria um cluster de administração, autônomo ou híbrido. Os clusters de usuário, como observado acima, são gerenciados por um cluster de administração (ou por um cluster híbrido que atua como administrador) e reutilizarão as mesmas credenciais do cluster de administração.

Para mais informações sobre como criar clusters e diferentes tipos de cluster, consulte Visão geral da instalação: como escolher um modelo de implantação.

É possível atualizar as seguintes credenciais e os respectivos secrets nos clusters do Anthos em clusters bare metal com o comando bmctl:

  • SSH private key: usado para acesso ao nó.
  • Container Registry key: chave da conta de serviço usada para autenticar com o Container Registry no pull de imagens.
  • Connect agent service account key: chave da conta de serviço usada pelos pods do agente do Connect.
  • Connect registry service account key: chave da conta de serviço usada para autenticar com o Hub ao inscrever ou cancelar a inscrição de um cluster.
  • Cloud operations service account key: chave da conta de serviço para autenticação com APIs do Cloud Operations (geração de registros e monitoramento).

Como atualizar credenciais com bmctl

  1. Prepare os novos valores das credenciais que você quer atualizar:

    • É possível gerar novas chaves da conta de serviço do Google por meio do comando gcloud ou por meio da IU do Google Cloud.
    • Gerar novas credenciais de chave privada SSH nas máquinas que compõem os clusters do Anthos em clusters bare metal.
  2. Atualize os secrets com o comando bmctl, adicionando as sinalizações apropriadas descritas abaixo.

    Por exemplo, aqui, bmctl atualiza as credenciais de uma nova chave privada SSH, em que ADMIN_KUBECONFIG especifica o caminho para o kubeconfig do cluster de administração, híbrido ou autônomo e SSH_KEY_PATH especifica o caminho para a nova chave privada SSH:

    bmctl update credentials --cluster CLUSTER_NAME --kubeconfig ADMIN_KUBECONFIG --ssh-private-key-path
    SSH_KEY_PATH
    

Especifique as seguintes sinalizações com bmtctl para atualizar as credenciais:

Sinalização descrição
--kubeconfig exigido, caminho para o kubeconfig do cluster de administração, híbrido ou independente
--ssh-private-key-path caminho para a nova chave privada SSH
--gcr-key-path caminho para a nova chave da conta de serviço do Container Registry
--gke-connect-agent-service-account-key-path caminho para a nova chave da conta de serviço do agente do Connect
--gke-connect-register-service-account-key-path caminho para a nova chave da conta de serviço de registro do Connect
--cloud-operations-service-account-key-path caminho para a nova chave da conta do serviço do pacote de operações do Google Cloud