Connect-Agent in einem Cluster aktualisieren

Auf dieser Seite wird beschrieben, wie Sie die Version des Connect-Agents aktualisieren oder den Dienstkontoschlüssel des Connect-Agents rotieren.

Updates für Connect-Agent

Der Connect-Agent wird regelmäßig automatisch und unterbrechungsfrei aktualisiert.

Sie können den Connect-Agent auch manuell aktualisieren, indem Sie einen Cluster registrieren. gcloud ruft den neuesten verfügbaren Connect-Agent ab und installiert ihn im Cluster neu.

Connect-Agent-Dienstkontoschlüssel rotieren

Es wird empfohlen, langlebige Anmeldedaten wie Dienstkontoschlüssel regelmäßig zu rotieren. Führen Sie die folgenden Schritte aus, um den vom Connect Agent verwendeten Dienstkontoschlüssel zu rotieren:

  1. Vorbereitung:

    PROJECT=[PROJECT_ID]
    NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project)
    SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep client_email \
    | awk '{print $2}' | tr -d '",')
    OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep private_key_id \
    | awk '{print $2}' | tr -d '",')
    

    Dabei ist [PROJECT_ID] die eindeutige Projekt-ID Ihres Projekts. Sie finden sie in der Cloud Console oder durch Ausführen von gcloud config get-value project.

  2. Neuen Schlüssel erstellen:

    gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
    

  3. Überschreiben Sie den vorhandenen Schlüssel für den Agent:

    Dies führt dazu, dass der Agent mit dem neuen Secret neu gestartet wird und der Tunnel mit neuen Anmeldedaten wiederhergestellt wird.

    kubectl create secret -n $NAMESPACE generic creds-gcp \
    --from-file=./creds-gcp.json --dry-run -o yaml  | kubectl replace -f  -
    
  4. Prüfen Sie Ihre Logs auf dem Pod des Agents, um sicherzustellen, dass die Verbindung wiederhergestellt wurde:

    kubectl logs -n $NAMESPACE -l app=gke-connect-agent
    

  5. Löschen Sie den alten Schlüssel:

    gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
    

  6. Löschen Sie die lokale Kopie des neuen Schlüssels:

    Wir empfehlen, den Schlüssel nicht aufzubewahren. Wenn Sie den Schlüssel verlieren und den Agent neu installieren müssen, empfehlen wir, stattdessen den Schlüssel zu rotieren.

    shred creds-gcp.json