Como atualizar o agente do Connect em um cluster

Nesta página, você verá como atualizar a versão do agente do Connect ou alternar a chave da conta de serviço do agente do Connect.

Atualizações do agente do Connect

Periodicamente, o agente do Connect é atualizado automaticamente sem causar interrupções.

No entanto, também é possível atualizar manualmente o agente do Connect para a versão mais recente registrando um cluster. gcloud busca o agente do Connect mais recente disponível e o reinstala no cluster.

Alternar a chave da conta de serviço do agente do Connect

É recomendável alternar regularmente credenciais de longa duração, como chaves de conta de serviço. Para alternar a chave da conta de serviço que o agente do Connect usa, execute as seguintes etapas:

  1. Prepare-se:

    PROJECT=[PROJECT_ID]
    NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project)
    SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep client_email \
    | awk '{print $2}' | tr -d '",')
    OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep private_key_id \
    | awk '{print $2}' | tr -d '",')
    

    em que [PROJECT_ID] é o ID exclusivo do projeto. É possível encontrá-lo no Console do Cloud ou executando gcloud config get-value project.

  2. Criar uma nova chave:

    gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
    

  3. Substitua a chave atual no agente:

    Isso fará com que o agente reinicie com o novo secret e restabeleça o túnel com novas credenciais.

    kubectl create secret -n $NAMESPACE generic creds-gcp \
    --from-file=./creds-gcp.json --dry-run -o yaml  | kubectl replace -f  -
    
  4. Verifique seus registros no pod do agente para garantir que ele seja reconectado:

    kubectl logs -n $NAMESPACE -l app=gke-connect-agent
    

  5. Exclua a chave antiga:

    gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
    

  6. Exclua a cópia local da nova chave:

    Recomendamos que você não mantenha a chave. Se você perder a chave e precisar reinstalar o agente, recomendamos fazer a rotação da chave.

    shred creds-gcp.json