Merotasi kunci akun layanan

Untuk merotasi kunci akun layanan di GKE pada Bare Metal, perbarui kredensial cluster yang ada dengan perintah bmctl. Rotasi kunci akun layanan ini mungkin menjadi bagian dari proses reguler Anda untuk memperbarui kredensial, atau sebagai respons terhadap potensi eksposur kunci. Saat Anda memperbarui kredensial cluster, informasi baru akan diteruskan ke admin atau cluster hybrid, atau secara otomatis dirutekan ke cluster pengguna yang terpengaruh yang dikelola oleh cluster admin.

Kredensial cluster yang dapat diperbarui

GKE pada cluster Bare Metal memerlukan beberapa kredensial saat dibuat. Anda dapat menetapkan kredensial di konfigurasi cluster saat membuat admin, cluster mandiri, atau cluster hybrid. Cluster pengguna, seperti yang disebutkan sebelumnya, dikelola oleh cluster admin (atau cluster campuran yang bertindak sebagai admin), dan akan menggunakan kembali kredensial yang sama dari cluster admin.

Untuk mengetahui informasi selengkapnya mengenai pembuatan cluster dan berbagai jenis cluster, lihat Ringkasan penginstalan: memilih model deployment.

Anda dapat memperbarui kredensial berikut dan secret yang sesuai, di GKE pada cluster Bare Metal dengan perintah bmctl:

  • Kunci pribadi SSH: Digunakan untuk akses node.
  • Kunci Container Registry (anthos-baremetal-gcr): Kunci akun layanan yang digunakan untuk melakukan autentikasi dengan Container Registry untuk pengambilan image.
  • Hubungkan kunci akun layanan agen (anthos-baremetal-connect): Kunci akun layanan yang digunakan oleh pod agen Connect.
  • Hubungkan kunci akun layanan registry (anthos-baremetal-register): Kunci akun layanan yang digunakan untuk melakukan autentikasi dengan Hub saat mendaftarkan atau membatalkan pendaftaran cluster.
  • Kunci akun layanan operasi cloud (anthos-baremetal-cloud-ops): Kunci akun layanan untuk melakukan autentikasi dengan API Kemampuan observasi (logging & pemantauan) Google Cloud.

Perbarui kredensial dengan bmctl

Saat Anda membuat cluster, GKE di Bare Metal membuat Secret Kubernetes berdasarkan kunci kredensial Anda. Jika membuat kunci baru, Anda harus memperbarui Secret yang sesuai seperti yang dijelaskan pada langkah-langkah berikut. Jika nama atau jalur ke kunci berubah, Anda juga harus memperbarui file konfigurasi cluster yang sesuai.

  1. Siapkan nilai baru untuk kredensial yang ingin diperbarui:

    • Anda dapat membuat kunci akun layanan Google baru melalui Google Cloud CLI atau konsol Google Cloud.

    • Buat kunci pribadi SSH baru di workstation admin dan pastikan mesin node cluster memiliki kunci publik yang sesuai.

  2. Perbarui bagian kredensial file konfigurasi cluster Anda dengan jalur ke kunci baru.

  3. Update Secret cluster yang sesuai dengan perintah bmctl update credentials, dengan menambahkan flag yang sesuai.

    Contoh berikut memperbarui kredensial untuk kunci pribadi SSH yang baru:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
    --cluster CLUSTER_NAME \
    --ssh-private-key-path SSH_KEY_PATH

    Ganti kode berikut:

    • ADMIN_KUBECONFIG: jalur file kubeconfig admin atau cluster yang dikelola sendiri.

    • CLUSTER_NAME: nama cluster yang kunci SSH-nya diperbarui.

    • SSH_KEY_PATH: jalur file kunci SSH. Secara default, bmctl akan memeriksa file kunci akun layanan dan SSH yang ditentukan dalam file konfigurasi cluster. Jika bmctl menemukan file kunci yang sudah tidak berlaku, perintah akan gagal. Jika Anda memiliki file kunci valid baru di lokasi yang berbeda dengan yang ditentukan dalam file konfigurasi, sertakan flag --ignore-validation-errors untuk menghindari kegagalan ini.

    Untuk daftar lengkap flag yang dapat Anda gunakan dengan perintah bmctl update credentials, lihat memperbarui kredensial dalam referensi perintah bmctl.