In diesem Dokument wird gezeigt, wie vorbereitete Anmeldedaten für einen Administratorcluster in GKE on VMware konfiguriert werden.
Mit vorbereiteten Anmeldedaten können Sie Anmeldedaten für Ihren Administratorcluster in einem Secret in Ihrem Administratorcluster speichern. Dies bietet ein Sicherheitselement, da Sie keine Passwörter und Dienstkontoschlüssel auf Ihrer Administrator-Workstation aufbewahren müssen.
Übersicht über das Verfahren
Füllen Sie eine Secret-Konfigurationsdatei aus.
Legen Sie in der Konfigurationsdatei des Administratorclusters den Wert „true“ fest.
Führen Sie
gkectl prepare
ausErstellen Sie den Administratorcluster.
Secret-Konfigurationsdatei ausfüllen
Vorlage für eine Secrets-Konfigurationsdatei erstellen:
gkectl create-config secrets
Der vorherige Befehl generiert eine Datei mit dem Namen secrets.yaml
. Sie können den Namen und den Speicherort dieser Datei ändern.
Machen Sie sich mit der Konfigurationsdatei vertraut, indem Sie das Dokument Konfigurationsdatei für Secrets lesen. Sie können dieses Dokument in einem separaten Tab oder Fenster geöffnet lassen.
Hier ist ein Beispiel für eine Konfigurationsdatei für Secrets. Die eine Secret-Gruppe hat Werte für vCenter-Anmeldedaten und vier Dienstkontoschlüssel:
apiVersion: v1 kind: ClusterSecrets secretGroups: - secrets vCenter: username: "my-vcenter-account" password: "U$icUKEW#INE" componentAccessServiceAccount: serviceAccountKeyPath: "my-key-folder/component-access-key.json" registerServiceAccount: serviceAccountKeyPath: "my-key-folder/connect-register-key.json" stackdriverServiceAccount: serviceAccountKeyPath: "my-key-folder/log-mon-key.json" cloudAuditLoggingServiceAccount: serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
Konfigurationsdatei für den Admincluster
Erstellen Sie eine Konfigurationsdatei für den Administratorcluster, wie unter Administratorcluster erstellen beschrieben.
Legen Sie in der Konfigurationsdatei des Administratorclusters preparedSecrets.enabled
auf true
fest:
preparedsecrets: enabled: true
Geben Sie in der Konfigurationsdatei des Administratorclusters keine Werte für die folgenden Felder an. Diese Felder sind nicht erforderlich, da GKE on VMware Anmeldedaten und Schlüssel aus Ihren vorbereiteten Secrets abruft.
vCenter.credentials.fileRef.path
componentAccessServiceAccountKeyPath
loadBalancer.f5BigIP.credentials.fileRef.path
gkeConnect.registerServiceAccountKeyPath
stackdriver.serviceAccountKeyPath
cloudAuditLogging.serviceAccountKeyPath
privateRegistry.credentials.fileRef.path
Umgebung initialisieren
Importieren Sie Betriebssystem-Images in vSphere und übertragen Sie Container-Images in eine private Registry, sofern eine angegeben wurde:
gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Ersetzen Sie Folgendes:
ADMIN_CLUSTER_CONFIG: Pfad Ihrer Konfigurationsdatei für den Administratorcluster.
SECRETS_CONFIG: der Pfad Ihrer Secrets-Konfigurationsdatei
Erstellen Sie den Administratorcluster.
Erstellen Sie den Administratorcluster:
gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Ersetzen Sie Folgendes:
ADMIN_CLUSTER_CONFIG: Pfad Ihrer Konfigurationsdatei für den Administratorcluster.
SECRETS_CONFIG: der Pfad Ihrer Secrets-Konfigurationsdatei
Anmeldedaten rotieren
Zum Rotieren von Anmeldedaten benötigen Sie eine Konfigurationsdatei für Secrets. Es gibt zwei Ansätze, die Sie verfolgen können:
Führen Sie
gkectl create-config secrets
aus, um eine neue Konfigurationsdatei für Secrets zu generieren. Füllen Sie die Datei mit den neuen Dienstkontoschlüsseln aus.Generieren Sie eine Secret-Konfigurationsdatei aus dem Administratorcluster. Ersetzen Sie dann die ausgewählten Dienstkontoschlüssel durch neue.
So generieren Sie eine Secret-Konfigurationsdatei aus dem Administratorcluster:
gkectl get-config admin --export-secrets-config \ --bundle-path BUNDLE \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Ersetzen Sie Folgendes:
BUNDLE: der Pfad der GKE on VMware-Bundle-Datei
ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters
Rotieren Sie die Anmeldedaten:
gkectl update credentials CREDENTIAL_TYPE \ --config ADMIN_CLUSTER_CONFIG \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --secret-config SECRETS_CONFIG \ --admin-cluster
Ersetzen Sie Folgendes:
CREDENTIAL_TYPE: Eine der folgenden Optionen: vsphere, f5bigip, privateRegistry, Componentsaccess, registrieren, Stackdriver, Cloudauditlogging.
ADMIN_CLUSTER_CONFIG: der Pfad Ihrer Administratorcluster-Konfigurationsdatei.
ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters
SECRETS_CONFIG: der Pfad der Konfigurationsdatei für Secrets
Aktualisieren
Zum Aktualisieren eines Administratorclusters, der vorbereitete Anmeldedaten verwendet, können Sie in vielen Fällen der Anleitung unter Cluster aktualisieren folgen.
Wenn Sie jedoch Cloud Logging und Cloud Monitoring oder Cloud-Audit-Logs im Rahmen der Aktualisierung aktivieren möchten, gehen Sie so vor:
Generieren Sie eine Secrets-Konfigurationsdatei.
Geben Sie in der Konfigurationsdatei des Secrets Werte für
stackdriverServiceAccount.serviceAccountKeyPath
undcloudAuditLoggingServiceAccount.serviceAccountKeyPath
oder beides an.Aktualisieren Sie den Cluster:
gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config ADMIN_CLUSTER_CONFIG \ --secret-config SECRETS_CONFIG
Zugehörige Dokumente
- Konfigurationsdatei für Secrets
- Konfigurationsdatei für den Administratorcluster
- Administratorcluster erstellen
- Dienstkonten erstellen
- Vorbereitete Anmeldedaten für einen Nutzercluster