Actualiza el agente de Connect de un clúster

En esta página, se describe cómo actualizar la versión del agente de Connect o cómo rotar la clave de la cuenta de servicio del agente de Connect.

Actualizaciones del agente de Connect

Periódicamente, el agente de Connect se actualiza automáticamente de forma no disruptiva.

Sin embargo, también puedes actualizar de forma manual el agente de Connect a la versión más reciente mediante el registro de un clúster. gcloud recupera el agente de Connect más reciente disponible y vuelve a instalarlo en el clúster.

Rota la clave de la cuenta de servicio del agente de Connect

Se recomienda rotar regularmente las credenciales de larga duración, como las claves de cuenta de servicio. Para rotar la clave de la cuenta de servicio que usa el agente de Connect, sigue estos pasos:

  1. Prepárate:

    PROJECT=[PROJECT_ID]
    NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project)
    SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep client_email \
    | awk '{print $2}' | tr -d '",')
    OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep private_key_id \
    | awk '{print $2}' | tr -d '",')
    

    donde [PROJECT_ID] es el ID del proyecto único de tu proyecto. Puedes encontrarlo en Cloud Console o mediante la ejecución de gcloud config get-value project.

  2. Crea una clave nueva:

    gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
    

  3. Reemplaza la clave existente en el agente de la siguiente manera:

    Esto hará que el agente se reinicie con el secreto nuevo y se restablezca el túnel con credenciales nuevas.

    kubectl create secret -n $NAMESPACE generic creds-gcp \
    --from-file=./creds-gcp.json --dry-run -o yaml  | kubectl replace -f  -
    
  4. Revisa tus registros en el pod del agente para asegurarte de que se vuelva a conectar:

    kubectl logs -n $NAMESPACE -l app=gke-connect-agent
    

  5. Borra la clave antigua:

    gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
    

  6. Borra la copia local de la clave nueva:

    Te sugerimos que no la conserves. Si pierdes la clave y necesitas volver a instalar el agente, te recomendamos que rotes la clave.

    shred creds-gcp.json