Rota autoridades certificadoras

Google Distributed Cloud usa certificados y claves privadas para autenticar y encriptar las conexiones entre los componentes del sistema en clústeres. La autoridad certificadora (CA) del clúster administra estos certificados y claves. Cuando ejecutas el comando bmctl update credentials certificate-authorities rotate, Google Distributed Cloud realiza las siguientes acciones:

  • Crea y sube nuevas autoridades certificadoras (CA) de clúster para la CA del clúster, la CA de etcd y la CA del proxy principal al espacio de nombres del clúster de usuario en el clúster de administrador.

  • Los controladores del clúster de administrador reemplazan las autoridades certificadoras del clúster de usuario por las que se generaron hace poco.

  • Los controladores del clúster de administrador distribuyen los nuevos certificados de CA públicos y los pares de claves de certificado de hoja a los componentes del sistema del clúster de usuario.

Para mantener la comunicación segura del clúster, rota la CA del clúster de usuario de forma periódica y siempre que haya una posible violación de la seguridad.

Antes de comenzar

Antes de rotar la autoridad certificadora de tu clúster, planifica de acuerdo con las siguientes condiciones e impactos:

  • Asegúrate de que los clústeres de administrador y de usuario estén en la versión 1.9.0 o superior antes de comenzar la rotación de CA.

  • La rotación del CA es incremental, lo que permite que los componentes del sistema se comuniquen durante la rotación.

  • El proceso de rotación de CA reinicia el servidor de la API, los procesos del plano de control y los pods en el clúster de usuario.

  • Se espera que las cargas de trabajo se reinicien y se reprogramen durante la rotación de la CA.

  • Para las opciones de configuración de clústeres que no tienen alta disponibilidad, puedes esperar períodos breves de tiempo de inactividad del plano de control durante la rotación de las CA.

  • No se permiten operaciones de administración de clústeres durante la rotación de la CA.

  • La duración de la rotación de la CA depende del tamaño de tu clúster. Por ejemplo, la rotación de la CA puede tardar alrededor de dos horas en completarse para un clúster con un plano de control y 50 nodos trabajadores.

Limitaciones

La capacidad de rotación de autoridades certificadoras tiene las siguientes limitaciones:

  • La rotación de la CA del clúster de usuario no actualiza los certificados que emite un administrador de forma manual, incluso si la CA del clúster firma los certificados. Actualiza y redistribuye los certificados emitidos de forma manual después de que se complete la rotación de la CA del clúster de usuario.

  • Una vez iniciada, no se puede pausar ni revertir la rotación de la CA.

Inicia una rotación de CA del clúster

Usa el siguiente comando para iniciar el proceso de rotación de la CA:

bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
    --kubeconfig KUBECONFIG

Reemplaza lo siguiente:

  • CLUSTER_NAME: Es el nombre del clúster en el que deseas rotar las CA.
  • KUBECONFIG es la ruta al archivo kubeconfig del clúster de administrador. Para los clústeres autoadministrados, este archivo es el archivo kubeconfig del clúster.

El comando de bmctl se cierra después de que la CA se rota con éxito y se genera un archivo kubeconfig nuevo. La ruta estándar para el archivo kubeconfig es bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Soluciona problemas de rotación de CA de clústeres

El comando bmctl update credentials muestra el progreso de la rotación de la CA. El archivo update-credentials.log asociado se guarda en el siguiente directorio con marca de tiempo:

bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP