Dokumen ini menunjukkan cara mengonfigurasi kredensial yang disiapkan untuk cluster admin di Google Distributed Cloud.
Dengan kredensial yang disiapkan, Anda dapat menyimpan kredensial untuk cluster admin di Secret di cluster admin. Hal ini memberikan elemen keamanan, karena Anda tidak perlu menyimpan sandi dan kunci akun layanan di workstation admin.
Ringkasan prosedur
Isi file konfigurasi Secret.
Di file konfigurasi cluster admin, tetapkan enabled ke true.
Jalankan
gkectl prepare
Buat cluster admin.
Mengisi file konfigurasi secret
Buat template untuk file konfigurasi Secrets:
gkectl create-config secrets
Perintah sebelumnya menghasilkan file bernama secrets.yaml
. Anda dapat mengubah
nama dan lokasi file ini jika ingin.
Pelajari file konfigurasi dengan membaca dokumen File konfigurasi Secrets. Sebaiknya biarkan dokumen ini terbuka di tab atau jendela terpisah.
Berikut adalah contoh file konfigurasi Secrets. Satu grup Secret memiliki nilai untuk kredensial vCenter dan empat kunci akun layanan:
apiVersion: v1 kind: ClusterSecrets secretGroups: - secrets vCenter: username: "my-vcenter-account" password: "U$icUKEW#INE" componentAccessServiceAccount: serviceAccountKeyPath: "my-key-folder/component-access-key.json" registerServiceAccount: serviceAccountKeyPath: "my-key-folder/connect-register-key.json" stackdriverServiceAccount: serviceAccountKeyPath: "my-key-folder/log-mon-key.json" cloudAuditLoggingServiceAccount: serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
File konfigurasi cluster admin
Buat file konfigurasi cluster admin seperti yang dijelaskan dalam Membuat cluster admin.
Di file konfigurasi cluster admin, tetapkan preparedSecrets.enabled
ke true
:
preparedsecrets: enabled: true
Dalam file konfigurasi cluster admin, jangan tentukan nilai untuk kolom berikut. Kolom ini tidak diperlukan, karena Google Distributed Cloud akan mendapatkan kredensial dan kunci dari Secret yang Anda siapkan.
vCenter.credentials.fileRef.path
componentAccessServiceAccountKeyPath
loadBalancer.f5BigIP.credentials.fileRef.path
gkeConnect.registerServiceAccountKeyPath
stackdriver.serviceAccountKeyPath
cloudAuditLogging.serviceAccountKeyPath
privateRegistry.credentials.fileRef.path
Menginisialisasi lingkungan
Mengimpor image OS ke vSphere, dan mengirim image container ke registry pribadi jika telah ditentukan.:
gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Ganti kode berikut:
ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda
SECRETS_CONFIG: jalur file konfigurasi Secrets Anda
Membuat cluster admin
Buat cluster admin:
gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Ganti kode berikut:
ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda
SECRETS_CONFIG: jalur file konfigurasi Secrets Anda
Merotasi kredensial
Untuk merotasi kredensial, Anda memerlukan file konfigurasi Secrets. Ada dua pendekatan yang dapat Anda lakukan:
Jalankan
gkectl create-config secrets
untuk membuat file konfigurasi Secrets baru. Isi file dengan kunci akun layanan baru.Buat file konfigurasi Secrets dari cluster admin. Kemudian, ganti kunci akun layanan yang dipilih dengan kunci baru.
Untuk membuat file konfigurasi Secrets dari cluster admin:
gkectl get-config admin --export-secrets-config \ --bundle-path BUNDLE \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Ganti kode berikut:
BUNDLE: jalur file paket Google Distributed Cloud
ADMIN_CLUSTER_KUBECONFIG: jalur file kubeconfig cluster admin
Putar kredensial:
gkectl update credentials CREDENTIAL_TYPE \ --config ADMIN_CLUSTER_CONFIG \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --secret-config SECRETS_CONFIG \ --admin-cluster
Ganti kode berikut:
CREDENTIAL_TYPE: Salah satu dari berikut: vsphere, f5bigip, privateregistry, componentaccess, register, stackdriver, cloudauditlogging.
ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin
ADMIN_CLUSTER_KUBECONFIG: jalur file kubeconfig cluster admin
SECRETS_CONFIG: jalur file konfigurasi Secrets
Perbarui
Untuk mengupdate cluster admin yang menggunakan kredensial yang disiapkan, dalam banyak kasus, Anda dapat mengikuti petunjuk seperti yang ditulis dalam Memperbarui cluster.
Namun, jika Anda ingin mengaktifkan Cloud Logging dan Cloud Monitoring atau Cloud Audit Logs sebagai bagian dari update, ikuti langkah-langkah berikut:
Buat file konfigurasi Secrets.
Di file konfigurasi Secret, berikan nilai untuk
stackdriverServiceAccount.serviceAccountKeyPath
dancloudAuditLoggingServiceAccount.serviceAccountKeyPath
atau keduanya.Update cluster:
gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config ADMIN_CLUSTER_CONFIG \ --secret-config SECRETS_CONFIG
Dokumen terkait
- File konfigurasi secret
- File konfigurasi cluster admin
- Membuat cluster admin
- Membuat akun layanan
- Kredensial yang disiapkan untuk cluster pengguna