Fichier de configuration des secrets

Ce document décrit les champs d'un fichier de configuration de secrets. Vous utilisez un fichier de configuration de Secrets lorsque vous créez des secrets préparés.

Un fichier de configuration de Secrets contient un ensemble de groupes de Secrets. Chaque groupe possède le nom d'un espace de noms Kubernetes et des identifiants pour un ou plusieurs des éléments suivants:

vCenter Server
F5 BIG-IP
Un compte de service d'accès aux composants
Un compte de service de connexion-inscription
Un compte de service de journalisation-surveillance
Un compte de service de journalisation d'audit
Un compte de service de mesure de l'utilisation
Registre privé

Vous fournissez un fichier de configuration de Secrets en tant qu'entrée à la commande gkectl create secrets. Pour chaque groupe de secrets, la commande crée des secrets Kubernetes: un secret pour chacun des identifiants du groupe. La commande crée les secrets dans un cluster d'administrateur dans l'espace de noms Kubernetes spécifié.

Pour commencer, créez un modèle pour votre fichier de configuration de secrets :

gkectl create-config secrets

Modèle

Cliquez pour afficher le modèle généré.

apiVersion: v1
kind: ClusterSecrets
# List of secret groups; for admin clusters it allows only one group
secretGroups:
# (Required for user clusters only) A unique name for secret namespace; it needs to
# have prefix 'gke-onprem-secrets-' (example: gke-onprem-secrets-test)
‐ namespace: ""
  # Secrets in this namespace
  secrets:
    # The credentials for vCenter
    vCenter:
      username: ""
      password: ""
    # The credentials for f5BigIP
    f5BigIP:
      username: ""
      password: ""
    # The GCP service account key used to pull GKE images
    componentAccessServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to register the cluster
    registerServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send logs and metrics from the cluster
    stackdriverServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send audit logs from the cluster
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: ""
    # # (Optional) The GCP service account key used by gke-usage-metering to report to BigQuery;
    # # Used by user clusters only
    # usageMeteringServiceAccount:
    #   serviceAccountKeyPath: ""
    # The credentials for private registry
    privateRegistry:
      username: ""
      password: ""

Remplir les champs dans un fichier de configuration de secrets

`secretGroups`

Tableau d'objets. Chaque objet possède le nom d'un espace de noms Kubernetes et un ensemble d'identifiants.

Pour un cluster d'administrateur, un seul groupe de secrets est autorisé.

`secretGroups[i].namespace`

Cluster d'utilisateur uniquement.

Nom de votre choix pour un espace de noms Kubernetes qui contiendra un ensemble de secrets. Le nom doit commencer par gke-onprem-secrets-.

Exemple :

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    ...
- namespace: "gke-onprem-secrets-alice"
  secrets:
    ...

`secretGroups[i].secrets.vCenter`

Le nom d'utilisateur et le mot de passe d'un compte vCenter.

Exemple :

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    vCenter:
      username: "vc-bob"
      password: "U$icUKEW#INE"

`secretGroups[i].secrets.f5BigIP`

Nom d'utilisateur et mot de passe d'un compte F5 BIG-IP.

Exemple :

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    f5BigIP:
      username: "f5-bob"
      password: "exvQVx^@L%F1"

`secretGroups[i].secrets.componentAccessServiceAccount.serviceAccountKeyPath`

Chemin d'accès d'un fichier de clé JSON pour un compte de service d'accès au composant.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-folder/component-access-key.json"

`secretGroups[i].secrets.registerServiceAccount.serviceAccountKeyPath`

Chemin d'accès à un fichier de clé JSON pour un compte de service connect-register.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    registerServiceAccount:
      serviceAccountKeyPath: "my-folder/connect-register-key.json"

`secretGroups[i].secrets.stackdriverServiceAccount.serviceAccountKeyPath`

Chemin d'accès à un fichier de clé JSON pour un compte de service de journalisation-surveillance.

Exemple :

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-folder/log-mon-key.json"

`secretGroups[i].secrets.cloudAuditLoggingServiceAccount.serviceAccountKeyPath`

Chemin d'accès à un fichier de clé JSON pour un compte de service de journalisation d'audit.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-folder/audit-log-key.json"

`secretGroups[i].secrets.usageMeteringServiceAccount.serviceAccountKeyPath`

Cluster d'utilisateur uniquement.

Chemin d'accès à un fichier de clé JSON pour un compte de service de mesure de l'utilisation.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    usageMeteringServiceAccount:
      serviceAccountKeyPath: "my-folder/usage-metering-key.json"

`secretGroups[i].secrets.privateRegistry`

Nom d'utilisateur et mot de passe du registre private si vous utilisez le registre privé.

Exemple :

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    privateRegistry:
      username: "registry-user-bob"
      password: "f[vuV3^@L*4g"