Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren

In diesem Dokument wird beschrieben, wie Sie die automatische Bereitstellung und die Lebenszyklusverwaltung verwalteter Arbeitslastidentitäten für Compute Engine einrichten. Sie konfigurieren CA-Pools so, dass Zertifikate mit Certificate Authority Service (CA) ausgestellt werden. Dies ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, der die Bereitstellung und Verwaltung und Sicherheit von CA-Diensten vereinfacht und automatisiert. Jede VM wird mit X.509-Anmeldedaten aus dem konfigurierten CA-Pool bereitgestellt. Diese Anmeldedaten können dann zum Herstellen von mTLS-Verbindungen verwendet werden.

Mit verwalteten Arbeitslastidentitäten für Compute Engine können Sie wechselseitig authentifizierte und verschlüsselte Kommunikation zwischen zwei beliebigen Compute Engine-VMs implementieren. Arbeitslastanwendungen, die auf den konfigurierten VMs ausgeführt werden, können die X.509-Anmeldedaten für die pro VM mTLS verwenden. Diese mTLS-Zertifikate werden automatisch vom Certificate Authority Service rotiert und verwaltet.

Vorbereitung

Zugriff auf die Vorschau der verwalteten Arbeitslastidentität anfordern

Warnung: Fahren Sie erst fort, wenn Sie eine Bestätigung erhalten haben, dass Ihr Projekt der Zulassungsliste hinzugefügt wurde.
Google Cloud CLI konfigurieren:

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: You can run the gcloud CLI in the Google Cloud console without installing the Google Cloud CLI. To run the gcloud CLI in the Google Cloud console, use Cloud Shell.

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.
Konfigurieren Sie die Google Cloud CLI so, dass das Projekt auf der Zulassungsliste für die Abrechnung und das Kontingent verwendet wird.
```
  gcloud config set billing/quota_project PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, das der Zulassungsliste für die Vorschau der verwalteten Arbeitslastidentität hinzugefügt wurde.
Lesen Sie die Übersicht zu verwalteten Arbeitslastidentitäten.

Enable the Compute Engine API:

gcloud services enable compute.googleapis.com

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von VMs mit Zertifikaten für verwaltete Arbeitslasten für die Authentifizierung bei anderen Arbeitslasten benötigen:

Compute-Instanzadministrator (Version 1) (roles/compute.instanceAdmin.v1)
Service Account User (roles/iam.serviceAccountUser)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Übersicht

Führen Sie die folgenden Aufgaben aus, um verwaltete Arbeitslastidentitäten für Ihre Anwendungen zu verwenden:

Sicherheitsadministrator:
Compute Administrator:
- Konfigurationsdatei zum Hochladen der Partnermetadaten abrufen
- Aktivieren Sie verwaltete Arbeitslastidentitäten für Arbeitslasten, die in Compute Engine ausgeführt werden:
  - Für einzelne VMs
  - Für verwaltete Instanzgruppen (MIGs)
- Zugriff auf Anmeldedaten für Arbeitslasten auf einer Linux-VM

Verwaltete Arbeitslastidentitäten in der Identitäts- und Zugriffsverwaltung konfigurieren

Folgen Sie der Anleitung unter Authentifizierung von verwalteten Arbeitslastidentitäten konfigurieren .

In dieser Anleitung wird beschrieben, wie Sie Folgendes tun:
- Erstellen Sie einen Workload Identity-Pool.
- Erstellen Sie Namespaces im Workload Identity-Pool. Mithilfe der Namespaces können Sie Verwaltungsgrenzen für Ihre verwalteten Arbeitslastidentitäten erstellen, z. B. einen Namespace für jede Anwendung, die Ihrer Organisation gehört.
- Erstellen Sie eine verwaltete Arbeitslastidentität in einem Namespace im Workload Identity-Pool. Sie können beispielsweise einen Namespace für eine Anwendung erstellen und in diesem Namespace verwaltete Identitäten für die Mikrodienste erstellen, die diese Anwendung unterstützen.
- Erstellen Sie ein Dienstkonto. Compute Engine-VMs können autorisiert werden, eine verwaltete Arbeitslastidentität anhand des an die VM angehängten Google Cloud-Dienstkontos zu empfangen.
- Erstellen Sie eine Attestierungsrichtlinie für Arbeitslasten, mit der Ihre Arbeitslast Anmeldedaten für die verwaltete Arbeitslastidentität erhalten kann. Damit Anmeldedaten für die verwaltete Arbeitslastidentität ausgegeben werden können, muss sich die Arbeitslast innerhalb eines angegebenen Projekts befinden und das Dienstkonto muss angehängt sein.
- Konfigurieren Sie den Certificate Authority Service so, dass er Zertifikate für verwaltete Arbeitslastidentitäten ausstellt:
  - Stamm-CA-Pool konfigurieren
  - Untergeordnete Zertifizierungsstellen konfigurieren
  - Verwaltete Arbeitslastidentitäten autorisieren, um Zertifikate vom CA-Pool anzufordern

Konfigurationsdatei zum Hochladen der Partnermetadaten abrufen

Ihr Sicherheitsadministrator erstellt eine JSON-Datei mit folgenden Angaben:

Die Konfiguration für die Arbeitslastidentität
Die Konfiguration der Zertifikatsausstellung
Die Vertrauenskonfiguration

Diese Datei muss den Namen CONFIGS.json haben. Sie verwenden diese Datei, wenn Sie eine Instanzvorlage für MIGs oder eine einzelne VM erstellen.

Die Datei CONFIGS.json sollte so ähnlich aussehen:

  {
  "wc.compute.googleapis.com": {
     "entries": {
        "certificate-issuance-config": {
           "primary_certificate_authority_config": {
              "certificate_authority_config": {
                 "ca_pool": "projects/PROJECT_ID/locations/SUBORDINATE_CA_POOL_REGION/caPools/SUBORDINATE_CA_POOL_ID"
              }
           },
           "key_algorithm": "rsa-2048"
        },
        "trust-config": {
           "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
               "trust_anchors": [{
                  "ca_pool": "projects/PROJECT_ID/locations/SUBORDINATE_CA_POOL_REGION/caPools/SUBORDINATE_CA_POOL_ID"
                }]
           }
     }
  }
  },
  "iam.googleapis.com": {
     "entries": {
        "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID"
     }
  }
  }

Verwaltete Arbeitslastidentitäten für eine verwaltete Instanzgruppe aktivieren

Eine verwaltete Instanzgruppe (MIG) ist eine Gruppe von VM-Instanzen, die Sie als eine einzige Entität behandeln. Jede VM in einer MIG wird mit einer Instanzvorlage erstellt. Damit die VMs in der MIG verwaltete Arbeitslastidentitäten verwenden können, geben Sie die Konfiguration in der Instanzvorlage an.

Instanzvorlage erstellen

Erstellen Sie eine Instanzvorlage mit aktiviertem Feature für verwaltete Arbeitslastidentitäten. Verwenden Sie diese Vorlage dann, um eine verwaltete Instanzgruppe (MIG) zu erstellen.

gcloud

Erstellen Sie mit dem Befehl gcloud beta compute instance-templates create eine neue Instanzvorlage, die verwaltete Arbeitslastidentitäten aktiviert.

gcloud beta compute instance-templates create INSTANCE_TEMPLATE_NAME \
    --service-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --metadata enable-workload-certificate=true \
    --partner-metadata-from-file CONFIGS.json

Sie können beim Erstellen der Instanzvorlage zusätzliche Flags hinzufügen, um die erstellten VMs anzupassen. Sie können beispielsweise den Maschinentyp und das Image angeben, anstatt die Standardwerte zu verwenden.

Ersetzen Sie dabei Folgendes:

INSTANCE_TEMPLATE_NAME: Der Name der neuen Vorlage.
SERVICE_ACCOUNT_NAME: der Name des Dienstkontos, das die verwaltete Identität empfangen darf.
PROJECT_ID: die ID des Projekts, in dem das Dienstkonto erstellt wurde.
CONFIGS.json: Die Konfigurationsdatei, die die Konfiguration der Zertifikatsausstellung, die Vertrauenskonfiguration und die verwaltete Arbeitslastidentität enthält.

Weitere Informationen finden Sie unter Instanzvorlagen erstellen.

Verwaltete Instanzgruppe aus der Vorlage erstellen

Erstellen Sie eine verwaltete Instanzgruppe, die eine Instanzvorlage verwendet, die die verwalteten Arbeitslastidentitäten aktiviert. Weitere Informationen zum Erstellen der Instanzvorlage finden Sie unter Instanzvorlage erstellen.

gcloud

Erstellen Sie eine MIG mit der Instanzvorlage und dem Befehl gcloud compute instance-groups managed create.

gcloud compute instance-groups managed create INSTANCE_GROUP_NAME \
    --size=SIZE \
    --template=INSTANCE_TEMPLATE_NAME \
    --zone=ZONE

Ersetzen Sie dabei Folgendes:

INSTANCE_GROUP_NAME: eine eindeutige ID für die verwaltete Instanzgruppe. Weitere Informationen zu gültigen Namen finden Sie unter Ressourcen benennen.
SIZE: Name der verwalteten Instanzgruppe.
INSTANCE_TEMPLATE_NAME: Name der Instanzvorlage, die beim Erstellen von VMs in der MIG verwendet werden soll.
ZONE ist die Zone, in der die VMs erstellt werden sollen.

Ausführliche Informationen zum Erstellen von MIGs finden Sie unter Grundlegende Szenarien zum Erstellen verwalteter Instanzgruppen (MIGs).

Verwaltete Arbeitslastidentitäten für einzelne VMs aktivieren

Sie können verwaltete Arbeitslastidentitäten für eine VM aktivieren, wenn Sie die VM erstellen oder die Partnermetadaten für eine vorhandene VM aktualisieren.

VMs mit aktivierten verwalteten Arbeitslastidentitäten erstellen

So erstellen Sie eine VM, um das Feature für verwaltete Arbeitslastidentitäten für die VM zu aktivieren:

Dienstkonto für die VM angeben
Setzen Sie das Metadatenattribut enable-workload-certificate auf true.
Geben Sie die Informationen zur Konfiguration der Zertifikatsausstellung und zur Vertrauensstellung als Partnermetadaten an.

gcloud

Verwenden Sie den Befehl gcloud beta compute instances create, um eine neue VM zu erstellen. Verwenden Sie die CONFIGS.json-Datei, die Ihnen von Ihrem Sicherheitsadministrator zur Verfügung gestellt wurde, oder erstellen Sie eine Datei gemäß der Anleitung unter Konfigurationsdatei zum Hochladen der Partnermetadaten erstellen.

Erstellen Sie eine VM mit aktiviertem Feature für verwaltete Arbeitslastidentitäten.
```
gcloud beta compute instances create INSTANCE_NAME \
   --zone=INSTANCE_ZONE \
   --service-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
   --metadata enable-workload-certificate=true \
   --partner-metadata-from-file CONFIGS.json
```
Sie können dem Befehl zusätzliche Zeilen hinzufügen, um die VM zu konfigurieren, z. B. den Maschinentyp und das Image, anstatt die Standardwerte zu verwenden. Weitere Informationen finden Sie unter VM-Instanz erstellen und starten.

Ersetzen Sie dabei Folgendes:
- INSTANCE_NAME: Ein eindeutiger Name für die VM. Weitere Informationen zu gültigen Instanznamen finden Sie unter Ressourcen benennen.
- INSTANCE_ZONE ist die Zone, in der die VM erstellt werden soll.
- SERVICE_ACCOUNT_NAME: der Name des Dienstkontos, das die verwaltete Identität empfangen darf.
- PROJECT_ID: die ID des Projekts, in dem das Dienstkonto erstellt wurde.
- CONFIGS.json: Der Name der Konfigurationsdatei, die die Konfiguration der Zertifikatsausstellung, die Vertrauenskonfiguration und die Konfiguration der verwalteten Arbeitslastidentität enthält.

Verwaltete Arbeitslastidentitäten auf vorhandenen VMs aktivieren

Aktualisieren Sie die VM so, dass Folgendes konfiguriert wird, um verwaltete Arbeitslastidentitäten für eine vorhandene VM zu aktivieren:

Wenn der VM noch kein Dienstkonto zugewiesen ist, erstellen Sie ein Dienstkonto und hängen Sie es an die VM an.
Setzen Sie das Metadatenattribut enable-workload-certificate auf true.
Geben Sie die Informationen zur Konfiguration der Zertifikatsausstellung und zur Vertrauenskonfiguration als Partnermetadaten an.
Starten Sie die VM neu.

gcloud

Für diese Aufgabe wird die CONFIGS.json-Datei verwendet, die von Ihrem Sicherheitsadministrator bereitgestellt oder gemäß der Anleitung unter Konfigurationsdatei zum Hochladen der Partnermetadaten erstellen erstellt wurde.

Wenn der VM noch kein Dienstkonto zugewiesen ist, hängen Sie das Dienstkonto an die VM an.
Aktualisieren Sie die Metadaten für eine vorhandene VM, um verwaltete Arbeitslastidentitäten zu aktivieren.
```
gcloud beta compute instances add-metadata VM_NAME \
   --zone=ZONE \
   --metadata enable-workload-certificate=true
```
Ersetzen Sie dabei Folgendes:
- VM_NAME: der Name der VM
- ZONE: die Zone, in der sich die VM befindet
Aktualisieren Sie die Konfiguration für eine vorhandene VM, um die Konfigurationsdatei hinzuzufügen.
```
gcloud beta compute instances update VM_NAME \
   --zone=ZONE \
   --partner-metadata-from-file CONFIGS.json
```
Ersetzen Sie dabei Folgendes:
- VM_NAME: der Name der VM
- ZONE: die Zone, in der sich die VM befindet
- CONFIGS.json: Die Konfigurationsdatei, die die Konfiguration der Zertifikatsausstellung, die Vertrauenskonfiguration und die verwaltete Arbeitslastidentität enthält.
Halten Sie die VM an.
```
gcloud beta compute instances stop VM_NAME \
   --zone=ZONE
```
Ersetzen Sie dabei Folgendes:
- VM_NAME: der Name der VM
- ZONE ist die Zone, in der sich die VM befindet.
VM starten
```
gcloud beta compute instances start VM_NAME \
   --zone=ZONE
```
Ersetzen Sie dabei Folgendes:
- VM_NAME: der Name der VM
- ZONE ist die Zone, in der sich die VM befindet.

Zugriff auf Anmeldedaten für Arbeitslasten auf einer Linux-VM

Nachdem Sie die Authentifizierung von Arbeitslast zu Arbeitslast mit mTLS konfiguriert haben, können Sie auf die ausgestellten Anmeldedaten auf Ihrer VM zugreifen.

Es gibt zwei Möglichkeiten, auf die Anmeldedaten der verwalteten Arbeitslastidentität von Compute Engine und auf das zugehörige Vertrauens-Bundle zuzugreifen:

Das Dateisystem auf der VM
Compute Engine-Metadatenserver

Über das Dateisystem auf der VM auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast zugreifen

Bei dieser Methode werden die X.509-Anmeldedaten und das Vertrauens-Bundle an einem bestimmten Pfad im Dateisystem der VM abgelegt. Anwendungen können die Anmeldedaten und das Vertrauens-Bundle direkt aus dem Dateisystem lesen. Beispiele zum Abrufen der Anmeldedaten finden Sie in den folgenden Beispielen auf GitHub:

Auf der VM muss der Compute Engine-Gastagent der Version 20231103.01 oder höher ausgeführt werden. Mit dem folgenden Befehl können Sie die Version des Compute Engine-Gast-Agents auf Ihrer VM prüfen:

gcloud beta compute instances get-serial-port-output INSTANCE_NAME \
   --zone=ZONE | grep "GCE Agent Started"

Wenn die Version des Gast-Agents niedriger als 20231103.01 ist, können Sie ihn aktualisieren. Folgen Sie dazu der Anleitung unter Gastumgebung aktualisieren.

So machen Sie die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast im Dateisystem einer VM verfügbar:

Installieren oder aktualisieren Sie den Compute Engine-Gast-Agent auf Version 20231103.01 oder höher. Der Gastagent führt Folgendes aus:
- Ruft die Anmeldedaten und das Vertrauens-Bundle automatisch vom Compute Engine-Metadatenserver ab.
- Sorgt für atomarer Schreibvorgänge in das Dateisystem, während das X.509-Zertifikat und der entsprechende private Schlüssel aktualisiert werden.
- Aktualisiert die Anmeldedaten und das Vertrauens-Bundle automatisch, z. B. wenn die MTLS-Zertifikate rotiert werden.
Nachdem Sie den Compute Engine-Gast-Agent auf dem Gastbetriebssystem installiert oder aktualisiert haben, wird durch den Job zum Aktualisieren der Arbeitslast das Verzeichnis /var/run/secrets/workload-spiffe-credentials erstellt und die Berechtigungen für das Verzeichnis auf 0755 (rwxr-xr-x) festgelegt.

Das Verzeichnis enthält die folgenden Dateien, die mit 0644 (rw-r--r--)-Berechtigungen erstellt wurden:
- private_key.pem: einen privaten Schlüssel im PEM-Format
- certificates.pem: Ein Paket von PEM-formatierten X.509-Zertifikaten, das anderen VMs als Clientzertifikatskette präsentiert oder als Serverzertifikatskette verwendet werden kann.
- ca_certificates.pem: Ein Paket aus PEM-formatierten X.509-Zertifikaten, das als Trust-Anchor verwendet wird, um die Zertifikate von Peers zu validieren.
  
  Hinweis: ca_certificates.pem enthält Zertifikate für die lokale SPIFFE-Vertrauensdomain der VM:
```
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog
```
- config_status: Eine Protokolldatei mit Fehlermeldungen.
Anwendungen können die Zertifikate, den privaten Schlüssel und das Trust-Bundle direkt aus dem Dateisystem lesen, um mTLS-Verbindungen herzustellen.

Hinweis: Ihr Anwendungscode muss prüfen, ob der private Schlüssel und die Zertifikatdatei übereinstimmen, bevor sie zum Herstellen einer mTLS-Verbindung verwendet werden. Eine Abweichung zwischen dem privaten Schlüssel und dem Zertifikat kann auftreten, wenn der Compute Engine-Gast-Agent die Anmeldedaten vom MDS zwischen Lesen der Datei private_key.pem und der certificates.pem-Datei oder umgekehrt aktualisiert. In Golang geschriebene Anwendungen können beispielsweise die Methode tls.LoadX509KeyPair verwenden, um die Konsistenz zwischen dem öffentlichen und dem privaten Schlüsselpaar zu prüfen.

Mit dem Metadatenserver auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast zugreifen

Eine Anwendung, die auf einer Compute Engine-VM ausgeführt wird, kann direkt die Metadatenserver-Endpunkte abfragen und die Anmeldedaten und das Vertrauens-Bundle abrufen. Die Anwendung ist dafür verantwortlich, die Metadatenserver-Endpunkte regelmäßig auf neue Anmeldedaten und Aktualisierungen des Vertrauens-Bundles zu prüfen.

Der Compute Engine-Metadatenserver stellt drei HTTP-Endpunkte zur Verfügung, um die Verwendung des Features für verwaltete Arbeitslastidentitäten durch Anwendungen zu ermöglichen, die in der VM ausgeführt werden.

gce-workload-certificates/config-status: Ein Endpunkt mit Fehlern in den Konfigurationswerten, die über die VM-Metadaten bereitgestellt werden.
gce-workload-certificates/workload-identities: Ein Endpunkt von Identitäten, die von der Compute Engine-Kontrollebene verwaltet werden. Dieser Endpunkt enthält das X.509-Zertifikat und den privaten Schlüssel für die Vertrauensdomain der VM.
gce-workload-certificates/trust-anchors: Ein Endpunkt mit einer Reihe vertrauenswürdiger Zertifikate für die Validierung der X.509-Zertifikatskette des Peers.

Weitere Informationen zum Abfragen der Metadaten für eine VM-Instanz finden Sie unter Informationen zu VM-Metadaten.

Damit Ihre Anwendung über den Metadatenserver auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast zugreifen kann, muss sie Folgendes tun:

Rufen Sie den Endpunkt gce-workload-certificates/config-status auf. Der HTTP-Antwortcode muss 200 sein und die Antwort darf keine partnerMetadataConfigsErrors-Fehler enthalten. Wenn solche Fehler auftreten, aktualisieren Sie die entsprechende Konfiguration mit gültigen Werten. Folgen Sie dazu der Anleitung unter Zertifizierungsausstellung und Vertrauensstellung konfigurieren.

Sie können den Wert mit dem folgenden Befehl auf der VM prüfen:
```
curl "http://metadata.google.internal/computeMetadata/v1/instance/gce-workload-certificates/config-status" -H "Metadata-Flavor: Google"
```
Der config-status-Endpunkt gibt eine JSON-Antwort mit der folgenden Struktur zurück:
```
{
    "partnerMetadataConfigsErrors": {
        "errors": {  // A map of errors keyed by attribute name.
            "ATTRIBUTE_NAME" : "ERROR_DETAILS",
            ...
        }
    }
}
```
Rufen Sie den Endpunkt gce-workload-certificates/workload-identities auf. Der HTTP-Antwortcode muss 200 sein. Der Endpunkt gibt eine JSON-Antwort mit der folgenden Struktur zurück:
```
{
 "workloadCredentials": {  // Credentials for the VM's trust domains
   "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID": {
      "certificatePem" : "X.509 certificate or certificate chain",
      "privateKeyPem" : "Private for X.509 leaf certificate"
   }
 }
}
```
Extrahieren Sie certificatePem und privateKeyPem. Es ist wichtig, dass beide Werte aus derselben Antwort gelesen werden, um Abweichungen zwischen dem privaten und dem öffentlichen Schlüssel zu vermeiden, falls die Identitäten der verwalteten Arbeitslast von der Compute Engine-Infrastruktur aktualisiert wurden.
Rufen Sie den Endpunkt gce-workload-certificates/trust-anchors auf. Der HTTP-Antwortcode muss 200 sein. Die Antwort enthält nur die Vertrauensanker für die SPIFFE-Vertrauensdomain, sofern angegeben. Andernfalls gibt die Abfrage einen Fehler zurück. Der trust-anchors-Endpunkt gibt eine JSON-Antwort mit der folgenden Struktur zurück:
```
{
    "trustAnchors": {  // Trust bundle for the VM's trust domains
        "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
            "trustAnchorsPem" : "Trust bundle containing the X.509
            roots certificates"
        }
    }
}
```
Der Inhalt von trustAnchorsPem enthält das Trust-Bundle, das dann zum Authentifizieren von Peer-X.509-Anmeldedaten beim Aufbau einer mTLS-Verbindung verwendet werden kann.

Anmeldedaten und Vertrauens-Bundle aktualisieren

Die Compute Engine-Steuerungsebene rotiert automatisch die Anmeldedaten für verwaltete Arbeitslastidentitäten und die Vertrauensanker regelmäßig.

Wenn Ihre Anwendungen das Dateisystem zum Zugriff auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast verwenden, werden die Anmeldedaten und das Vertrauens-Bundle vom Compute Engine-Gastagenten automatisch aktualisiert, z. B. wenn die mTLS-Zertifikate rotiert werden.

Wenn Ihre Anwendungen den Metadatenserver abfragen, müssen die auf einer VM ausgeführten Anwendungen regelmäßig die Metadatenserver-Endpunkte abfragen, um die neuesten Anmeldedaten für verwaltete Arbeitslastidentität und das Vertrauens-Bundle abzurufen. Andernfalls können Anwendungen aufgrund von abgelaufenen Zertifikaten oder Änderungen am Trust Bundle nicht mehr ausgeführt werden, was zu einem Fehlschlagen der mTLS-Verbindung führen kann. Google empfiehlt, dass Anwendungen alle fünf Minuten die Metadatenserver nach den Anmeldedaten für die verwaltete Arbeitslastidentität und das Vertrauens-Bundle abfragen.

Konfiguration der Zertifikatsausstellung und Vertrauensstellung aktualisieren

Sie können die Konfiguration der Zertifikatsausstellung und der Vertrauenskonfiguration für eine VM ändern, die verwaltete Arbeitslastidentitäten verwendet.

Instanzvorlage für eine verwaltete Instanzgruppe aktualisieren

Wenn Sie die Konfiguration für die Zertifikatausstellung und die Vertrauensstellung in einer Instanzvorlage aktualisieren möchten, müssen Sie eine neue Vorlage mit den neuen Werten erstellen. Daher wird das Aktualisieren der Konfiguration der Zertifikatsausstellung und der Vertrauensstellung für vorhandene verwaltete Instanzgruppen (Managed Instance Groups, MIGs) nicht unterstützt.

Einzelne Compute Engine-VMs aktualisieren

Aktualisieren Sie die Konfigurationsdatei CONFIGS.json und wenden Sie die Änderungen mit dem Befehl gcloud beta compute instances update an, um die Konfigurationen für die Ausstellung und das Vertrauen von Zertifikaten zu aktualisieren:

gcloud beta compute instances update INSTANCE_NAME \
    --partner-metadata-from-file FILENAME.json

Ersetzen Sie dabei Folgendes:

INSTANCE_NAME: Der Name der VM, für die Sie die Konfigurationswerte aktualisieren
FILENAME: Der Name der geänderten Konfigurationsdatei, z. B. CONFIGS.json

Fehlerbehebung

Methoden zur Diagnose und Behebung häufiger Fehler beim Abrufen von Arbeitslastanmeldedaten finden Sie in der Dokumentation Fehlerbehebung bei der Authentifizierung zwischen Arbeitslasten.

Nächste Schritte

Weitere Informationen zu den folgenden Konzepten: