Questa pagina è stata tradotta dall'API Cloud Translation.

Rotazione dei certificati CA del cluster di amministrazione

Google Distributed Cloud utilizza certificati e chiavi private per autenticare la comunicazione tra i componenti del sistema Kubernetes in un cluster di amministrazione. Quando crei un cluster di amministrazione, vengono creati nuovi certificati dell'autorità di certificazione (CA) e questi certificati radice vengono utilizzati per emettere certificati foglia aggiuntivi per i componenti di sistema Kubernetes.

Questa guida si applica solo alla rotazione dei certificati CA del cluster di amministrazione. Per i cluster utente, vedi Rotazione dei certificati CA dei cluster utente.

Esistono tre certificati CA utilizzati dal sistema Kubernetes in un cluster di amministrazione:

Il certificato CA etcd protegge la comunicazione dal server API Kubernetes alle repliche etcd e anche la comunicazione tra le repliche etcd. Questo certificato è autofirmato.
Il certificato CA del cluster protegge la comunicazione tra il server API Kubernetes e tutti i client API Kubernetes interni, ad esempio kubelet, il gestore dei controller e lo scheduler. Questo certificato è autofirmato.
Il certificato CA del proxy front-end protegge la comunicazione con le API aggregate. Questo certificato è autofirmato.

Puoi utilizzare gkectl per attivare una rotazione dei certificati. Durante una rotazione, gkectl sostituisce i certificati CA del sistema principale per il cluster di amministrazione con certificati appena generati. Poi distribuisce i nuovi certificati CA, i certificati foglia e le chiavi private ai componenti di sistema del cluster di amministrazione. La rotazione avviene in modo incrementale, in modo che i componenti del sistema possano continuare a comunicare durante la rotazione. Tieni presente, tuttavia, che i carichi di lavoro e i nodi vengono riavviati durante la rotazione.

Senza rotazione, i certificati CA e del piano di controllo scadranno dopo un periodo di tempo dalla data di creazione del cluster.

Il periodo di scadenza dipende dal tipo di cluster e dalla relativa versione di creazione:

Cluster avanzati:
- Scadenza di 10 anni
Cluster non avanzati:
- Creati prima della versione 1.5: scadenza di 10 anni
- Creato tra le versioni 1.5 e 1.16: scadenza di 5 anni
- Creato dopo la versione 1.16: scadenza di 30 anni

I certificati del control plane vengono ruotati automaticamente durante l'upgrade di un cluster, ma le CA non vengono ruotate automaticamente. Ciò significa che una rotazione della CA deve essere eseguita prima della data di scadenza della CA, oltre agli upgrade regolari della versione.

Limitazioni

Tieni presente la seguente limitazione relativa ai cluster avanzati:
- Versione 1.31: la rotazione delle CA non è supportata sui cluster avanzati.
- Versione 1.32 e successive: la rotazione della CA è supportata nei cluster avanzati, ma in questo documento sono indicate alcune piccole differenze, ove applicabile.
Rotazione dei certificati CA limitata ai certificati etcd, cluster e front-proxy menzionati in precedenza.
La rotazione dei certificati CA è limitata ai certificati emessi automaticamente da Google Distributed Cloud. Non aggiorna i certificati emessi manualmente da un amministratore, anche se questi certificati sono firmati dalle CA di sistema.
La rotazione dei certificati CA riavvia più volte il server API Kubernetes, altri processi del control plane e ogni nodo nel cluster di amministrazione. Ogni fase di una rotazione procede in modo simile a un upgrade del cluster. Anche se il cluster di amministrazione e i cluster utente gestiti dal cluster di amministrazione rimangono operativi durante una rotazione dei certificati, devi prevedere che i workload nel cluster di amministrazione vengano riavviati e riprogrammati. Dovresti anche aspettarti brevi periodi di inattività per il control plane del cluster di amministrazione e il control plane del cluster utente.
Devi aggiornare il file kubeconfig del cluster di amministrazione a metà di una rotazione dei certificati e di nuovo al termine della rotazione. Questo perché il vecchio certificato del cluster è revocato e le credenziali nel file kubeconfig non funzioneranno più.
Una volta avviata, la rotazione dei certificati CA non può essere annullata.
Il completamento di una rotazione dei certificati CA potrebbe richiedere molto tempo, a seconda delle dimensioni del cluster.
Se viene interrotto, il processo di rotazione dei certificati può essere ripreso eseguendo di nuovo lo stesso comando. Tuttavia, devi assicurarti che sia in esecuzione un solo comando di rotazione alla volta.

Avviare la rotazione

Per avviare la rotazione del certificato, esegui questo comando:

gkectl update credentials certificate-authorities rotate \
    --admin-cluster \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Sostituisci quanto segue:

ADMIN_CLUSTER_CONFIG: il percorso del file di configurazione del cluster di amministrazione
ADMIN_CLUSTER_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione

Il comportamento del comando varia a seconda che il cluster avanzato sia attivato:

Non abilitato

Il comando gkectl update credentials certificate-authorities rotate avvia ed esegue la prima metà della rotazione. Il comando si interrompe per consentirti di eseguire il comando successivo per aggiornare il file kubeconfig.

Aggiorna il file kubeconfig

Quando il comando gkectl update credentials certificate-authorities rotate si mette in pausa, aggiorna il file kubeconfig per il cluster di amministrazione. In questo modo, nel file kubeconfig vengono inseriti un nuovo certificato client e un nuovo certificato CA. Il vecchio certificato client viene rimosso dal file kubeconfig e il vecchio certificato CA rimane nel file kubeconfig.

gkectl update credentials certificate-authorities update-kubeconfig \
  --admin-cluster \
  --config ADMIN_CLUSTER_CONFIG \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Continua la rotazione

Esegui questo comando per eseguire la seconda metà della procedura. Il comando non procede finché gkectl non verifica che il file kubeconfig aggiornato si trovi nella directory corrente.

gkectl update credentials certificate-authorities rotate \
  --admin-cluster \
  --complete \
  --config ADMIN_CLUSTER_CONFIG \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Al termine della rotazione, viene segnalata la versione attuale dell'autorità di certificazione.

Aggiorna di nuovo il file kubeconfig

Al termine della seconda metà della rotazione, aggiorna di nuovo il file kubeconfig. In questo modo, il vecchio certificato CA viene rimosso dal file kubeconfig.

gkectl update credentials certificate-authorities update-kubeconfig \
  --admin-cluster \
  --config ADMIN_CLUSTER_CONFIG \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Abilitato

Se il cluster avanzato è abilitato, il comando gkectl update credentials certificate-authorities rotate è sincrono. Il comando restituisce messaggi di stato alla workstation di amministrazione man mano che la rotazione della CA procede.

Una volta eseguito correttamente il rollover della CA, il comando viene chiuso e viene generato automaticamente un nuovo file kubeconfig. Il file kubeconfig specificato nel comando viene sostituito con uno nuovo. L'output comando è simile al seguente:

Beginning CA rotation with generated CA
...
Successfully rotated CA for admin cluster. The kubeconfig file
"/home/ubuntu/kubeconfig" has been updated.
Done rotating certificate-authorities

Distribuire il nuovo file kubeconfig

Distribuisci il nuovo file kubeconfig del cluster di amministrazione a tutti gli utenti del cluster.