Para alternar as chaves da conta de serviço no Google Distributed Cloud, atualize as
credenciais do cluster atuais com o comando bmctl. Essa rotação de chave de conta de serviço pode fazer parte dos processos regulares para atualizar credenciais ou em resposta a uma possível exposição das chaves. Quando você atualiza as credenciais do cluster, as novas informações são transmitidas para
clusters administrativos ou clusters híbridos ou roteadas automaticamente para os clusters de usuário afetados
gerenciados por um cluster de administração.
Credenciais de cluster que podem ser atualizadas
Os clusters do Google Distributed Cloud exigem várias credenciais quando são criados. Defina as credenciais na configuração do cluster ao criar um cluster de administrador, independente ou híbrido. Os clusters de usuário, conforme observado anteriormente, são gerenciados por um cluster de administrador (ou um cluster híbrido que atua como administrador) e reutilizarão as mesmas credenciais do cluster de administrador.
Para mais informações sobre como criar clusters e diferentes tipos de cluster, consulte Visão geral da instalação: como escolher um modelo de implantação.
É possível atualizar as credenciais a seguir e os secrets correspondentes
nos clusters do Google Distributed Cloud com o comando bmctl:
- Chave privada SSH: usada para acesso ao nó.
- Chave do Container Registry (
anthos-baremetal-gcr): chave da conta de serviço usada para autenticação com o Container Registry para extração de imagens. - Chave da conta de serviço do agente do Connect (
anthos-baremetal-connect): chave da conta de serviço usada pelos pods do agente do Connect. - Chave da conta de serviço de registro do Connect
(
anthos-baremetal-register): chave da conta de serviço usada para autenticação com o Hub ao registrar ou cancelar o registro de um cluster. - Chave de conta de serviço de Operações do Cloud (
anthos-baremetal-cloud-ops): chave de conta de serviço para autenticação com as APIs de observabilidade (geração de registros e monitoramento) do Google Cloud.
Atualizar credenciais com bmctl
Quando você cria clusters, o Google Distributed Cloud cria secrets do Kubernetes com base nas suas chaves de credenciais. Se você gerar novas chaves, será necessário atualizar as chaves secretas correspondentes, conforme descrito nas etapas a seguir. Se o nome ou o caminho para suas chaves mudarem, também será necessário atualizar o arquivo de configuração do cluster correspondente.
Prepare os novos valores das credenciais que você quer atualizar:
É possível gerar novas chaves de conta de serviço do Google usando a Google Cloud CLI ou o console do Google Cloud.
Gere uma nova chave privada SSH na estação de trabalho de administrador e verifique se as máquinas do nó do cluster têm a chave pública correspondente.
Atualize a seção de credenciais do arquivo de configuração do cluster com os caminhos para as novas chaves.
Atualize os Secrets de cluster correspondentes com o comando
bmctl update credentials, adicionando as sinalizações apropriadas.O exemplo a seguir atualiza as credenciais de uma nova chave privada SSH:
bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \ --cluster CLUSTER_NAME \ --ssh-private-key-path SSH_KEY_PATHSubstitua:
ADMIN_KUBECONFIG: o caminho do arquivo kubeconfig do administrador ou do cluster autogerenciado.CLUSTER_NAME: o nome do cluster para o qual você está atualizando a chave SSH.SSH_KEY_PATH: o caminho do arquivo de chave SSH. Por padrão,bmctlverifica os arquivos SSH e de chave da conta de serviço especificados no arquivo de configuração do cluster. Sebmctlencontrar um arquivo de chave expirado, o comando falhará. Se o novo arquivo de chave válido estiver em um local diferente do especificado no arquivo de configuração, inclua a sinalização--ignore-validation-errorspara evitar essa falha.
Para uma lista completa das sinalizações que podem ser usadas com o comando
bmctl update credentials, consulte credenciais de atualização na referência do comandobmctl.