Merotasi kunci penandatanganan KSA

Akun layanan Kubernetes (KSA) memberikan identitas untuk proses yang berjalan di dalam Pod.

Akun layanan Kubernetes berbeda dengan akun layanan Google Cloud yang digunakan aplikasi untuk melakukan panggilan yang sah ke Google Cloud API.

GKE di VMware menggunakan kunci kriptografis pribadi untuk menandatangani token KSA yang diberikannya ke Pod. Fungsi ini menggunakan kunci publik yang sesuai untuk memvalidasi token saat Pod mengirim permintaan ke server Kubernetes API. Saat Pod menggunakan Workload Identity untuk memanggil Google Cloud API, Google Cloud akan menggunakan kunci publik yang sama untuk mengautentikasi identitas Pod.

Selama pembuatan cluster pengguna, GKE di VMware menghasilkan kunci pribadi dan publik. Selain itu, selama pembuatan cluster, GKE di VMware mendaftarkan cluster ke fleet dan menyediakan kunci publik ke Google Cloud.

Anda dapat merotasi pasangan kunci pribadi/publik nanti. Rotasi akan otomatis menerbitkan token baru yang ditandatangani oleh kunci pribadi baru. Pada akhir rotasi, cluster memiliki kunci pribadi baru, kunci publik baru, dan token yang dimuat ulang. Selain itu, Google Cloud memiliki kunci publik baru.

Token terikat dan token lama

Pod dapat menggunakan token lama atau token terikat untuk melakukan autentikasi dan otorisasi saat memanggil server Kubernetes API. Token terikat memiliki masa berlaku terbatas dan didistribusikan ke Pod menggunakan volume yang diproyeksikan. Token lama tidak memiliki batas waktu dan disimpan di Secret Kubernetes. Sebaiknya gunakan token terikat karena token tersebut lebih aman.

Token terikat dan token lama dimuat ulang selama rotasi kunci.

Memulai rotasi kunci

Sebelum Anda memulai rotasi kunci, pertimbangkan titik-titik berikut:

  • Selama rotasi kunci, Anda tidak dapat memulai rotasi kunci lain, rotasi certificate authority, atau update cluster.

  • Rotasi kunci tidak dapat dijeda atau di-roll back. Semua kunci lama akan dihapus.

  • Rotasi kunci akan menghapus node cluster yang ada dan membuat node baru.

Untuk memulai rotasi kunci:

gkectl update credentials ksa-signing-key rotate \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG \
    [--skip-prompt]

Ganti kode berikut:

  • USER_CLUSTER_CONFIG: Jalur file konfigurasi cluster pengguna

  • ADMIN_KUBECONFIG_FILE: Jalur file kubeconfig cluster admin

Sertakan --skip-prompt jika Anda tidak ingin diminta.

Melihat status rotasi kunci

Untuk melihat status rotasi kunci:

gkectl update credentials ksa-signing-key status \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG

Jika rotasi kunci telah selesai, Anda akan melihat pesan seperti ini:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: True,
reason: KSASigningKeyRotationCompleted,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[2]}

Jika rotasi Kunci Penandatanganan KSA masih berlangsung, Anda akan melihat pesan yang mirip dengan ini:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: False,
reason: KSASigningKeyRotationProcessedReason,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[1,2]}