Configura credenciales preparadas para un clúster de administrador

En este documento, se muestra cómo configurar credenciales preparadas para un clúster de administrador en Google Distributed Cloud.

Con credenciales preparadas, puedes almacenar las credenciales del clúster de administrador en un Secret en el clúster de administrador. Esto proporciona un elemento de seguridad, ya que no tienes que mantener contraseñas ni claves de cuenta de servicio en tu estación de trabajo de administrador.

Descripción general del procedimiento

1. Completa el archivo de configuración de Secrets.

2. En el archivo de configuración del clúster de administrador, establece la política como verdadera.

3. Ejecución gkectl prepare

4. Crea el clúster de administrador.

Completa el archivo de configuración de Secrets

Genera una plantilla para un archivo de configuración de Secrets:

gkectl create-config secrets

El comando anterior genera un archivo llamado secrets.yaml. Puedes cambiar el nombre y la ubicación de este archivo si lo deseas.

Para familiarizarte con el archivo de configuración, lee el documento Archivo de configuración de Secrets. Te recomendamos que mantengas abierto este documento en una pestaña o ventana separada.

Este es un ejemplo de un archivo de configuración de Secrets. El grupo de secretos tiene valores para las credenciales de vCenter y cuatro claves de cuenta de servicio:

apiVersion: v1
kind: ClusterSecrets
secretGroups:
- secrets
  vCenter:
    username: "my-vcenter-account"
      password: "U$icUKEW#INE"
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-key-folder/component-access-key.json"
    registerServiceAccount:
      serviceAccountKeyPath: "my-key-folder/connect-register-key.json"
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

Archivo de configuración del clúster de administrador

Crea un archivo de configuración de clúster de administrador como se describe en Crea un clúster de administrador.

En el archivo de configuración del clúster de administrador, establece preparedSecrets.enabled en true:

preparedsecrets:
  enabled: true

En el archivo de configuración del clúster de administrador, no especifiques los valores para los siguientes campos. Estos campos no son necesarios, ya que Google Distributed Cloud obtendrá credenciales y claves de tus secretos preparados.

• vCenter.credentials.fileRef.path
• componentAccessServiceAccountKeyPath
• loadBalancer.f5BigIP.credentials.fileRef.path
• gkeConnect.registerServiceAccountKeyPath
• stackdriver.serviceAccountKeyPath
• cloudAuditLogging.serviceAccountKeyPath
• privateRegistry.credentials.fileRef.path

Inicializa el entorno

Importa imágenes de SO a vSphere y envía imágenes de contenedor a un registro privado, si se especificó uno:

gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Reemplaza lo siguiente:

• ADMIN_CLUSTER_CONFIG: la ruta de acceso al archivo de configuración del clúster de administrador

• SECRETS_CONFIG: Es la ruta de acceso del archivo de configuración de Secrets.

Crea el clúster de administrador

Crea el clúster de administrador:

gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Reemplaza lo siguiente:

• ADMIN_CLUSTER_CONFIG: la ruta de acceso al archivo de configuración del clúster de administrador

• SECRETS_CONFIG: Es la ruta de acceso del archivo de configuración de Secrets.

Rota credenciales

Para rotar las credenciales, necesitas un archivo de configuración de Secrets. Puedes adoptar dos enfoques:

• Ejecuta gkectl create-config secrets para generar un nuevo archivo de configuración de Secrets. Completa el archivo con nuevas claves de cuenta de servicio.

• Genera un archivo de configuración de Secrets desde el clúster de administrador. Luego, reemplaza las claves de la cuenta de servicio seleccionadas por otras nuevas.

  Para generar un archivo de configuración de Secrets desde el clúster de administrador, haz lo siguiente:

  gkectl get-config admin --export-secrets-config \
    --bundle-path BUNDLE \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG
  

  Reemplaza lo siguiente:

  • BUNDLE: Es la ruta de acceso del archivo del paquete de Google Distributed Cloud.

  • ADMIN_CLUSTER_KUBECONFIG: la ruta del archivo kubeconfig del clúster de administrador

Rota las credenciales:

gkectl update credentials CREDENTIAL_TYPE \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --secret-config SECRETS_CONFIG \
    --admin-cluster

Reemplaza lo siguiente:

• CREDENTIAL_TYPE: Una de las siguientes opciones: vsphere, f5bigip, privateregistry, componentaccess, register, stackdriver y cloudauditlogging.

• ADMIN_CLUSTER_CONFIG: la ruta de acceso del archivo de configuración de tu clúster de administrador

• ADMIN_CLUSTER_KUBECONFIG: la ruta del archivo kubeconfig del clúster de administrador

• SECRETS_CONFIG: Es la ruta de acceso del archivo de configuración de Secrets.

Actualizar

Para actualizar un clúster de administrador que usa credenciales preparadas, puedes, en muchos casos, seguir las instrucciones que se indican en Actualiza un clúster.

Sin embargo, si deseas habilitar Cloud Logging y Cloud Monitoring o los registros de auditoría de Cloud como parte de la actualización, sigue estos pasos:

1. Genera un archivo de configuración de Secrets.

2. En el archivo de configuración de secretos, proporciona valores para stackdriverServiceAccount.serviceAccountKeyPath y cloudAuditLoggingServiceAccount.serviceAccountKeyPath, o ambos.

3. Actualiza el clúster:

   gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
     --config ADMIN_CLUSTER_CONFIG \
     --secret-config SECRETS_CONFIG
   

Documentos relacionados

• Archivo de configuración de Secrets
• Archivo de configuración del clúster de administrador
• Crear un clúster de administrador
• Crea cuentas de servicio
• Credenciales preparadas para un clúster de usuario