Gérer la conformité de l'accès au réseau interne

Une fois l'appareil correctement amorcé, l'administrateur doit faire tourner les secrets tous les trois mois pour s'assurer que l'appareil est conforme et sécurisé.

Avant de commencer

Procédez comme suit :

  1. Assurez-vous de remplir les conditions préalables pour les ordinateurs portables.
  2. Effectuez les actions suivantes concernant les outils d'interface de ligne de commande (CLI) gdcloud :
    1. Téléchargez les outils CLI gdcloud.
    2. Installez les outils de la CLI gdcloud.
    3. Mettez à niveau les outils CLI gdcloud si nécessaire.

Appliquer une rotation des secrets d'accès au réseau

Pour faire tourner les secrets d'accès au réseau, procédez comme suit sur la machine du programme d'amorçage :

  1. Connectez une machine bootstrap au port 12 du commutateur.

  2. Configurez les adresses IP du programme d'amorçage :

    gdcloud appliance system network init \
  --config CELLCONFIG\
  --data-interface DATA_INTERFACE

    Remplacez les éléments suivants :

    • CELLCONFIG : chemin d'accès au fichier cellconfig généré après la configuration de l'appliance.
    • DATA_INTERFACE : nom de l'interface réseau sur le programme d'amorçage connecté au port 12 du commutateur.

  3. Effectuez la rotation du certificat TLS sur le commutateur :

    gdcloud appliance rotate switch-certificate \
  --kubeconfig KUBECONFIG

    Remplacez KUBECONFIG par le chemin d'accès au fichier kubeconfig du cluster d'infrastructure de l'organisation enregistré lors de la configuration des identifiants d'urgence.

    Le certificat que vous avez généré est valide pendant trois mois et n'est pas renouvelé tant que vous ne le faites pas manuellement à l'aide de la procédure précédente. Notez la date à laquelle vous avez fait la rotation du certificat TLS afin de savoir quand répéter ce processus. Générez le certificat tous les trois mois. Si vous ne faites pas tourner le certificat TLS tous les trois mois, la rotation du secret réseau échouera, tout comme la mise à niveau.

  4. Effectuez une rotation de tous les mots de passe de connexion sur le commutateur :

    gdcloud appliance rotate switch-credentials \
  --kubeconfig KUBECONFIG