Ce document explique comment configurer les identifiants préparés pour un cluster d'administrateur dans Google Distributed Cloud.
Une fois les identifiants préparés, vous pouvez stocker les identifiants de votre cluster d'administrateur dans un secret de votre cluster d'administrateur. Cela offre un élément de sécurité, car vous n'avez pas besoin de conserver les mots de passe et les clés de compte de service sur votre poste de travail administrateur.
Présentation de la procédure
Remplissez un fichier de configuration de Secrets.
Dans le fichier de configuration de votre cluster d'administrateur, définissez "enabled" sur "true".
Exécuter
gkectl prepareCréez le cluster d'administrateur.
Remplir le fichier de configuration de vos secrets
Générer un modèle pour un fichier de configuration de secrets :
gkectl create-config secrets
La commande précédente génère un fichier nommé secrets.yaml. Vous pouvez modifier le nom et l'emplacement de ce fichier si vous le souhaitez.
Familiarisez-vous avec le fichier de configuration en lisant le document Fichier de configuration des secrets. Vous pouvez laisser ce document ouvert dans un onglet ou une fenêtre distincts.
Voici un exemple de fichier de configuration de secrets. Le premier groupe Secret possède des valeurs pour les identifiants vCenter et quatre clés de compte de service:
apiVersion: v1
kind: ClusterSecrets
secretGroups:
- secrets
vCenter:
username: "my-vcenter-account"
password: "U$icUKEW#INE"
componentAccessServiceAccount:
serviceAccountKeyPath: "my-key-folder/component-access-key.json"
registerServiceAccount:
serviceAccountKeyPath: "my-key-folder/connect-register-key.json"
stackdriverServiceAccount:
serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
cloudAuditLoggingServiceAccount:
serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
Fichier de configuration du cluster d'administrateur
Créez un fichier de configuration de cluster d'administrateur comme décrit dans la section Créer un cluster d'administrateur.
Dans le fichier de configuration de votre cluster d'administrateur, définissez preparedSecrets.enabled sur true:
preparedsecrets: enabled: true
Dans le fichier de configuration de votre cluster d'administrateur, ne spécifiez pas de valeurs pour les champs suivants. Ces champs ne sont pas nécessaires, car Google Distributed Cloud obtient les identifiants et les clés des secrets que vous avez préparés.
vCenter.credentials.fileRef.pathcomponentAccessServiceAccountKeyPathloadBalancer.f5BigIP.credentials.fileRef.pathgkeConnect.registerServiceAccountKeyPathstackdriver.serviceAccountKeyPathcloudAuditLogging.serviceAccountKeyPathprivateRegistry.credentials.fileRef.path
Initialiser l'environnement
Importez des images d'OS dans vSphere et transférez des images de conteneurs vers un registre privé si vous en avez spécifié une.
gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Remplacez les éléments suivants :
ADMIN_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'administrateur
SECRETS_CONFIG: chemin d'accès à votre fichier de configuration Secrets
Créer le cluster d'administrateur
Créez le cluster d'administrateur :
gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Remplacez les éléments suivants :
ADMIN_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'administrateur
SECRETS_CONFIG: chemin d'accès à votre fichier de configuration Secrets
Effectuer une rotation des identifiants
Pour effectuer la rotation des identifiants, vous avez besoin d'un fichier de configuration des secrets. Deux approches s'offrent à vous:
Exécutez
gkectl create-config secretspour générer un nouveau fichier de configuration des secrets. Remplissez le fichier avec les nouvelles clés de compte de service.Générez un fichier de configuration des secrets à partir du cluster d'administrateur. Remplacez ensuite les clés de compte de service sélectionnées par de nouvelles clés.
Pour générer un fichier de configuration des secrets à partir du cluster d'administrateur:
gkectl get-config admin --export-secrets-config \ --bundle-path BUNDLE \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Remplacez les éléments suivants :
BUNDLE: chemin d'accès au fichier du groupe Google Distributed Cloud
ADMIN_CLUSTER_KUBECONFIG : chemin d'accès au fichier kubeconfig du cluster d'administrateur
Effectuez une rotation des identifiants:
gkectl update credentials CREDENTIAL_TYPE \
--config ADMIN_CLUSTER_CONFIG \
--kubeconfig ADMIN_CLUSTER_KUBECONFIG \
--secret-config SECRETS_CONFIG \
--admin-cluster
Remplacez les éléments suivants :
CREDENTIAL_TYPE: l'un des éléments suivants: vsphere, f5bigip, privateregistry, componentaccess, Register, stackdriver ou cloudauditlogging.
ADMIN_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'administrateur
ADMIN_CLUSTER_KUBECONFIG : chemin d'accès du fichier kubeconfig du cluster d'administrateur
SECRETS_CONFIG: chemin d'accès au fichier de configuration des secrets
Mettre à jour
Pour mettre à jour un cluster d'administrateur qui utilise les identifiants préparés, vous pouvez, dans de nombreux cas, suivre les instructions décrites dans la section Mettre à jour un cluster.
Toutefois, si vous souhaitez activer Cloud Logging et Cloud Monitoring ou Cloud Audit Logs dans le cadre de la mise à jour, procédez comme suit:
Générez un fichier de configuration des secrets.
Dans le fichier de configuration des secrets, indiquez des valeurs pour
stackdriverServiceAccount.serviceAccountKeyPathetcloudAuditLoggingServiceAccount.serviceAccountKeyPath, ou les deux.Mettez à jour le cluster :
gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config ADMIN_CLUSTER_CONFIG \ --secret-config SECRETS_CONFIG
Documents associés
- Fichier de configuration des secrets
- Fichier de configuration du cluster d'administrateur
- Créer un cluster d'administrateur
- Créer des comptes de service
- Identifiants préparés pour un cluster d'utilisateur