Mengonfigurasi kredensial yang disiapkan untuk cluster admin

Dokumen ini menunjukkan cara mengonfigurasi kredensial yang disiapkan untuk cluster admin di GKE di VMware.

Dengan kredensial yang telah disiapkan, Anda dapat menyimpan kredensial untuk cluster admin di sebuah Secret pada cluster admin Anda. Hal ini memberikan elemen keamanan, karena Anda tidak perlu menyimpan sandi dan kunci akun layanan di workstation admin.

Ringkasan prosedur

1. Isi file konfigurasi Secrets.

2. Di file konfigurasi cluster admin, setel opsi ini ke true (benar).

3. Jalankan gkectl prepare

4. Buat cluster admin.

Isi file konfigurasi secret Anda

Buat template untuk file konfigurasi Secrets:

gkectl create-config secrets

Perintah sebelumnya menghasilkan file bernama secrets.yaml. Anda dapat mengubah nama dan lokasi file ini jika mau.

Pahami file konfigurasi dengan membaca dokumen file konfigurasi Secrets. Sebaiknya biarkan dokumen ini tetap terbuka di tab atau jendela terpisah.

Berikut adalah contoh file konfigurasi Secrets. Satu grup Secret memiliki nilai untuk kredensial vCenter dan empat kunci akun layanan:

apiVersion: v1
kind: ClusterSecrets
secretGroups:
- secrets
  vCenter:
    username: "my-vcenter-account"
      password: "U$icUKEW#INE"
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-key-folder/component-access-key.json"
    registerServiceAccount:
      serviceAccountKeyPath: "my-key-folder/connect-register-key.json"
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

File konfigurasi cluster admin

Buat file konfigurasi cluster admin seperti yang dijelaskan dalam Membuat cluster admin.

Dalam file konfigurasi cluster admin, tetapkan preparedSecrets.enabled ke true:

preparedsecrets:
  enabled: true

Dalam file konfigurasi cluster admin, jangan tentukan nilai untuk kolom berikut. Kolom ini tidak diperlukan, karena GKE di VMware akan mendapatkan kredensial dan kunci dari Secret yang Anda siapkan.

• vCenter.credentials.fileRef.path
• componentAccessServiceAccountKeyPath
• loadBalancer.f5BigIP.credentials.fileRef.path
• gkeConnect.registerServiceAccountKeyPath
• stackdriver.serviceAccountKeyPath
• cloudAuditLogging.serviceAccountKeyPath
• privateRegistry.credentials.fileRef.path

Menginisialisasi lingkungan

Impor image OS ke vSphere, dan kirim image container ke registry pribadi jika telah ditentukan.:

gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ganti kode berikut:

• ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda

• SECRETS_CONFIG: jalur file konfigurasi Secrets Anda

Membuat cluster admin

Buat cluster admin:

gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ganti kode berikut:

• ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda

• SECRETS_CONFIG: jalur file konfigurasi Secrets Anda

Merotasi kredensial

Untuk merotasi kredensial, Anda memerlukan file konfigurasi Secrets. Ada dua pendekatan yang dapat Anda ambil:

• Jalankan gkectl create-config secrets untuk membuat file konfigurasi Secrets baru. Isi file dengan kunci akun layanan baru.

• Membuat file konfigurasi Secrets dari cluster admin. Kemudian, ganti kunci akun layanan yang dipilih dengan yang baru.

  Untuk membuat file konfigurasi Secrets dari cluster admin:

  gkectl get-config admin --export-secrets-config \
    --bundle-path BUNDLE \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG
  

  Ganti kode berikut:

  • BUNDLE: jalur file paket GKE pada VMware

  • ADMIN_CLUSTER_KUBECONFIG: jalur file kubeconfig cluster admin

Putar kredensial:

gkectl update credentials CREDENTIAL_TYPE \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --secret-config SECRETS_CONFIG \
    --admin-cluster

Ganti kode berikut:

• CREDENTIAL_TYPE: Salah satu dari berikut ini: vsphere, f5bigip, privateregistry, componentaccess, register, stackdriver, cloudauditlogging.

• ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin

• ADMIN_CLUSTER_KUBECONFIG: jalur file kubeconfig cluster admin

• SECRETS_CONFIG: jalur file konfigurasi Secrets

Pembaruan

Untuk mengupdate cluster admin yang menggunakan kredensial yang telah disiapkan, dalam banyak kasus, Anda dapat mengikuti petunjuk dalam artikel Mengupdate cluster.

Namun, jika Anda ingin mengaktifkan Cloud Logging dan Cloud Monitoring atau Cloud Audit Logs sebagai bagian dari perubahan ini, ikuti langkah-langkah berikut:

1. Membuat file konfigurasi Secrets.

2. Dalam file konfigurasi Secrets Anda, berikan nilai untuk stackdriverServiceAccount.serviceAccountKeyPath dan cloudAuditLoggingServiceAccount.serviceAccountKeyPath atau keduanya.

3. Update cluster:

   gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
     --config ADMIN_CLUSTER_CONFIG \
     --secret-config SECRETS_CONFIG
   

Dokumen terkait

• File konfigurasi secret
• File konfigurasi cluster admin
• Membuat cluster admin
• Membuat akun layanan
• Menyiapkan kredensial untuk cluster pengguna