Ruota le autorità di certificazione

Google Distributed Cloud utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. L'autorità di certificazione (CA) del cluster gestisce questi certificati e chiavi. Quando esegui il comando bmctl update credentials certificate-authorities rotate, Google Distributed Cloud esegue le seguenti azioni:

  • Crea e carica nuove autorità di certificazione (CA) del cluster per la CA del cluster, la CA etcd e la CA del proxy frontale nello spazio dei nomi del cluster utente nel cluster di amministrazione.

  • I controller del cluster di amministrazione sostituiscono le autorità di certificazione del cluster utente con quelle appena generate.

  • I controller del cluster di amministrazione distribuiscono i nuovi certificati CA pubblici e le coppie di chiavi dei certificati foglia ai componenti di sistema del cluster utente.

Per mantenere le comunicazioni sicure con il cluster, ruota la CA del cluster utente in modo periodico e ogni volta che si verifica una possibile violazione della sicurezza.

Prima di iniziare

Prima di ruotare l'autorità di certificazione del cluster, esegui una pianificazione in base alle condizioni e agli impatti seguenti:

  • Assicurati che i cluster di amministrazione e utente siano alla versione 1.9.0 o successiva prima di avviare la rotazione della CA.

  • La rotazione CA è incrementale e consente ai componenti del sistema di comunicare durante la rotazione.

  • Il processo di rotazione CA riavvia il server API, i processi del piano di controllo e i pod nel cluster utente.

  • I carichi di lavoro potrebbero essere riavviati e ripianificati durante la rotazione delle CA.

  • Per le configurazioni di cluster non ad alta disponibilità, sono previsti brevi periodi di inattività del piano di controllo durante la rotazione della CA.

  • Le operazioni di gestione del cluster non sono consentite durante la rotazione della CA.

  • La durata della rotazione CA dipende dalle dimensioni del cluster. Ad esempio, il completamento della rotazione CA può richiedere quasi due ore per un cluster con un piano di controllo e 50 nodi worker.

Limitazioni

La funzionalità di rotazione dell'autorità di certificazione presenta le seguenti limitazioni:

  • La rotazione delle CA non aggiorna i certificati emessi manualmente da un amministratore, anche se la CA del cluster firma i certificati. Aggiornare e ridistribuire eventuali certificati emessi manualmente al termine della rotazione delle CA del cluster utente.

  • Una volta avviata, la rotazione CA non può essere messa in pausa o rollback.

Avvia una rotazione CA del cluster

Utilizza il seguente comando per avviare il processo di rotazione della CA:

bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
    --kubeconfig KUBECONFIG

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del cluster per il quale vuoi ruotare le CA.
  • KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione. Per i cluster a gestione autonoma, questo è il file kubeconfig del cluster.

Il comando bmctl si chiude dopo che la CA è stata ruotata correttamente e viene generato un nuovo file kubeconfig. Il percorso standard per il file kubeconfig è bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Risolvi i problemi relativi alla rotazione delle CA del cluster

Il comando bmctl update credentials mostra l'avanzamento della rotazione della CA. Il file update-credentials.log associato viene salvato nella seguente directory con timestamp:

bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP