Mengonfigurasi kredensial yang disiapkan untuk cluster admin

Dokumen ini menunjukkan cara mengonfigurasi kredensial yang disiapkan untuk cluster admin di Google Distributed Cloud.

Dengan kredensial yang disiapkan, Anda dapat menyimpan kredensial untuk cluster admin di Secret di cluster admin. Hal ini memberikan elemen keamanan, karena Anda tidak perlu menyimpan sandi dan kunci akun layanan di workstation admin.

Ringkasan prosedur

  1. Isi file konfigurasi Secret.

  2. Di file konfigurasi cluster admin, tetapkan enabled ke true.

  3. Jalankan gkectl prepare

  4. Buat cluster admin.

Mengisi file konfigurasi secret

Buat template untuk file konfigurasi Secrets:

gkectl create-config secrets

Perintah sebelumnya menghasilkan file bernama secrets.yaml. Anda dapat mengubah nama dan lokasi file ini jika ingin.

Pelajari file konfigurasi dengan membaca dokumen File konfigurasi Secrets. Sebaiknya biarkan dokumen ini terbuka di tab atau jendela terpisah.

Berikut adalah contoh file konfigurasi Secrets. Satu grup Secret memiliki nilai untuk kredensial vCenter dan empat kunci akun layanan:

apiVersion: v1
kind: ClusterSecrets
secretGroups:
- secrets
  vCenter:
    username: "my-vcenter-account"
      password: "U$icUKEW#INE"
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-key-folder/component-access-key.json"
    registerServiceAccount:
      serviceAccountKeyPath: "my-key-folder/connect-register-key.json"
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

File konfigurasi cluster admin

Buat file konfigurasi cluster admin seperti yang dijelaskan dalam Membuat cluster admin.

Di file konfigurasi cluster admin, tetapkan preparedSecrets.enabled ke true:

preparedsecrets:
  enabled: true

Dalam file konfigurasi cluster admin, jangan tentukan nilai untuk kolom berikut. Kolom ini tidak diperlukan, karena Google Distributed Cloud akan mendapatkan kredensial dan kunci dari Secret yang Anda siapkan.

  • vCenter.credentials.fileRef.path
  • componentAccessServiceAccountKeyPath
  • loadBalancer.f5BigIP.credentials.fileRef.path
  • gkeConnect.registerServiceAccountKeyPath
  • stackdriver.serviceAccountKeyPath
  • cloudAuditLogging.serviceAccountKeyPath
  • privateRegistry.credentials.fileRef.path

Menginisialisasi lingkungan

Mengimpor image OS ke vSphere, dan mengirim image container ke registry pribadi jika telah ditentukan.:

gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ganti kode berikut:

  • ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda

  • SECRETS_CONFIG: jalur file konfigurasi Secrets Anda

Membuat cluster admin

Buat cluster admin:

gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ganti kode berikut:

  • ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda

  • SECRETS_CONFIG: jalur file konfigurasi Secrets Anda

Merotasi kredensial

Untuk merotasi kredensial, Anda memerlukan file konfigurasi Secrets. Ada dua pendekatan yang dapat Anda lakukan:

  • Jalankan gkectl create-config secrets untuk membuat file konfigurasi Secrets baru. Isi file dengan kunci akun layanan baru.

  • Buat file konfigurasi Secrets dari cluster admin. Kemudian, ganti kunci akun layanan yang dipilih dengan kunci baru.

    Untuk membuat file konfigurasi Secrets dari cluster admin:

    gkectl get-config admin --export-secrets-config \
      --bundle-path BUNDLE \
      --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    Ganti kode berikut:

    • BUNDLE: jalur file paket Google Distributed Cloud

    • ADMIN_CLUSTER_KUBECONFIG: jalur file kubeconfig cluster admin

Putar kredensial:

gkectl update credentials CREDENTIAL_TYPE \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --secret-config SECRETS_CONFIG \
    --admin-cluster

Ganti kode berikut:

  • CREDENTIAL_TYPE: Salah satu dari berikut: vsphere, f5bigip, privateregistry, componentaccess, register, stackdriver, cloudauditlogging.

  • ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin

  • ADMIN_CLUSTER_KUBECONFIG: jalur file kubeconfig cluster admin

  • SECRETS_CONFIG: jalur file konfigurasi Secrets

Perbarui

Untuk mengupdate cluster admin yang menggunakan kredensial yang disiapkan, dalam banyak kasus, Anda dapat mengikuti petunjuk seperti yang ditulis dalam Memperbarui cluster.

Namun, jika Anda ingin mengaktifkan Cloud Logging dan Cloud Monitoring atau Cloud Audit Logs sebagai bagian dari update, ikuti langkah-langkah berikut:

  1. Buat file konfigurasi Secrets.

  2. Di file konfigurasi Secret, berikan nilai untuk stackdriverServiceAccount.serviceAccountKeyPath dan cloudAuditLoggingServiceAccount.serviceAccountKeyPath atau keduanya.

  3. Update cluster:

    gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --config ADMIN_CLUSTER_CONFIG \
      --secret-config SECRETS_CONFIG