Para rotar las claves de la cuenta de servicio en Google Distributed Cloud, actualiza las credenciales del clúster existente con el comando bmctl. Esta rotación de claves de la cuenta de servicio puede formar parte de los procesos habituales para actualizar las credenciales o en respuesta a una posible exposición de las claves. Cuando actualizas las credenciales del clúster, la información nueva se pasa a los clústeres híbridos o de administrador, o se enruta de forma automática a los clústeres de usuario afectados que administra un clúster de administrador.
Credenciales de clúster que se pueden actualizar
Los clústeres de Google Distributed Cloud requieren varias credenciales cuando se crean. Establece las credenciales en la configuración del clúster cuando creas un clúster de administrador, independiente o híbrido. Los clústeres de usuario, como se indicó antes, son administrados por un clúster de administrador (o un clúster híbrido que actúa como administrador) y reutilizarán las mismas credenciales del clúster de administrador.
Si deseas obtener más información para crear clústeres y diferentes tipos de clústeres, consulta Descripción general de la instalación: elige un modelo de implementación.
Puedes actualizar las siguientes credenciales y sus secretos correspondientes en los clústeres de Google Distributed Cloud con el comando bmctl:
- Clave privada SSH: Se usa para el acceso a los nodos.
- Clave de Container Registry (
anthos-baremetal-gcr): La clave de la cuenta de servicio que se usa a fin de autenticarse con Container Registry para extraer imágenes. - Clave de cuenta de servicio del agente de Connect (
anthos-baremetal-connect): Clave de cuenta de servicio que usan los Pods del agente de Connect. - Conectar clave de cuenta de servicio de registro (
anthos-baremetal-register): Clave de cuenta de servicio que se usa para autenticarse con Hub cuando se registra o cancela el registro de un clúster. - Clave de cuenta de servicio de Cloud Operations (
anthos-baremetal-cloud-ops): Clave de cuenta de servicio para autenticar con las APIs de Google Cloud Observability (registro y supervisión).
Actualiza las credenciales con bmctl
Cuando creas clústeres, Google Distributed Cloud crea Secrets de Kubernetes en función de tus claves de credenciales. Si generas claves nuevas, debes actualizar los Secretos correspondientes como se describe en los siguientes pasos. Si el nombre o la ruta de acceso a tus claves cambian, también debes actualizar el archivo de configuración del clúster correspondiente.
Prepara los valores nuevos de las credenciales que deseas actualizar:
Puedes generar nuevas claves de cuenta de servicio de Google a través de Google Cloud CLI o la consola de Google Cloud.
Genera una clave privada SSH nueva en la estación de trabajo de administrador y asegúrate de que las máquinas del nodo del clúster tengan la clave pública correspondiente.
Actualiza la sección de credenciales del archivo de configuración del clúster con rutas a las claves nuevas.
Actualiza los Secretos del clúster correspondientes con el comando
bmctl update credentialsy agrega las marcas adecuadas.En el siguiente ejemplo, se actualizan las credenciales para una nueva clave privada SSH:
bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \ --cluster CLUSTER_NAME \ --ssh-private-key-path SSH_KEY_PATHReemplaza lo siguiente:
ADMIN_KUBECONFIG: Es la ruta de acceso del archivo kubeconfig del clúster de administrador o de autoadministración.CLUSTER_NAME: Es el nombre del clúster para el que deseas actualizar la clave SSH.SSH_KEY_PATH: Es la ruta de acceso del archivo de claves SSH. De forma predeterminada,bmctlverifica los archivos de claves SSH y de claves de la cuenta de servicio especificados en el archivo de configuración del clúster. Sibmctlencuentra un archivo de claves vencido, el comando fallará. Si tienes el nuevo archivo de claves válido en una ubicación diferente de la que se especifica en el archivo de configuración, incluye la marca--ignore-validation-errorspara evitar este error.
Para obtener una lista completa de las marcas que puedes usar con el comando
bmctl update credentials, consulta actualizar credenciales en la referencia del comandobmctl.