서비스 계정 키 순환

Google Distributed Cloud의 서비스 계정 키를 순환하려면 기존 클러스터 사용자 인증 정보를 bmctl 명령어로 업데이트합니다. 이 서비스 계정 키 순환은 사용자 인증 정보를 업데이트하는 일반 프로세스 중에 또는 잠재적인 키 노출에 대한 응답으로 수행될 수 있습니다. 클러스터 사용자 인증 정보를 업데이트하면 새 정보가 관리자 또는 하이브리드 클러스터로 전달되거나 관리자 클러스터에서 관리하는 영향을 받는 사용자 클러스터로 자동으로 라우팅됩니다.

업데이트할 수 있는 클러스터 사용자 인증 정보

Google Distributed Cloud 클러스터를 만들 때 여러 사용자 인증 정보가 필요합니다. 관리자, 독립형 또는 하이브리드 클러스터를 만들 때 클러스터 구성에서 사용자 인증 정보를 설정하는데, 위에서 설명한 것처럼 사용자 클러스터는 관리자 클러스터(또는 관리자 역할을 하는 하이브리드 클러스터)가 관리하며 관리자 클러스터에서 동일한 사용자 인증 정보를 재사용합니다.

클러스터 생성 및 다른 클러스터 유형에 대한 자세한 내용은 설치 개요: 배포 모델 선택을 참조하세요.

bmctl 명령어를 사용하여 Google Distributed Cloud 클러스터에서 다음 사용자 인증 정보와 해당 보안 비밀을 업데이트할 수 있습니다.

  • SSH 비공개 키: 노드 액세스에 사용됩니다.
  • Container Registry 키(anthos-baremetal-gcr): 이미지 가져오기를 위해 Container Registry이 인증하는 데 사용되는 서비스 계정 키입니다.
  • Connect 에이전트 서비스 계정 키(anthos-baremetal-connect): Connect 에이전트 포드에 사용되는 서비스 계정 키입니다.
  • Connect 레지스트리 서비스 계정 키(anthos-baremetal-register): 클러스터를 등록 또는 등록 취소할 때 허브에 인증하는 데 사용되는 서비스 계정 키입니다.
  • Cloud 운영 서비스 계정 키(anthos-baremetal-cloud-ops): Google Cloud Observability(Logging 및 Monitoring) API로 인증하기 위한 서비스 계정 키입니다.

bmctl로 사용자 인증 정보 업데이트

클러스터를 만들면 Google Distributed Cloud가 사용자 인증 정보 키를 기반으로 Kubernetes 보안 비밀을 만듭니다. 새 키를 생성할 때는 다음 단계에 설명된 대로 해당 보안 비밀을 업데이트해야 합니다. 키 이름 또는 경로가 변경되면 해당 클러스터 구성 파일도 업데이트해야 합니다.

  1. 업데이트할 사용자 인증 정보의 새 값을 준비합니다.

    • Google Cloud CLI 또는 Google Cloud 콘솔을 통해 새 Google 서비스 계정 키를 생성할 수 있습니다.

    • 관리자 워크스테이션서 새 SSH 비공개 키를 생성하고 클러스터 노드 머신에 해당 공개 키가 포함되는지 확인합니다.

  2. 클러스터 구성 파일의 사용자 인증 정보 섹션을 새 키 경로로 업데이트합니다.

  3. 적절한 플래그를 추가하여 bmctl update credentials 명령어로 해당 클러스터 보안 비밀을 업데이트합니다.

    다음 예시에서는 새 SSH 비공개 키의 사용자 인증 정보를 업데이트합니다.

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
        --cluster CLUSTER_NAME \
        --ssh-private-key-path SSH_KEY_PATH
    

    다음을 바꿉니다.

    • ADMIN_KUBECONFIG: 관리자 또는 자체 관리 클러스터의 kubeconfig 파일 경로입니다.

    • CLUSTER_NAME: SSH 키를 업데이트할 클러스터의 이름입니다.

    • SSH_KEY_PATH: SSH 키 파일의 경로입니다. 기본적으로 bmctl은 클러스터 구성 파일에 지정된 SSH 및 서비스 계정 키 파일을 확인합니다. bmctl이 만료된 키 파일을 찾으면 명령어가 실패합니다. 새 유효한 키 파일이 구성 파일에 지정된 것과 다른 위치에 있는 경우 이 같은 실패를 방지하기 위해 --ignore-validation-errors 플래그를 포함합니다.

    bmctl update credentials 명령어에 사용할 수 있는 플래그의 전체 목록은 bmctl 명령어 참조의 사용자 인증 정보 업데이트를 참조하세요.