Cette page a été traduite par l'API Cloud Translation.

Récupérer les bundles de confiance GDC

Un bundle d'approbations, également appelé liste d'approbations, est un groupe d'ancres de confiance, telles que des entités, qui sont intrinsèquement fiables et dont la fiabilité n'est pas transférée par une autre entité (tiers de confiance). Ces ancres de confiance sont fournies sous forme de certificats d'autorité de certification (CA). L'algorithme de création du chemin de certification utilise ces certificats d'autorité de certification pour établir une chaîne entre un certificat obtenant la validation et les ancres de confiance.

Google Distributed Cloud (GDC) sous air gap dispose de groupes de confiance dédiés. Ce guide explique comment récupérer le bundle de confiance pour les administrateurs d'organisation.

Types de groupes de confiance

Distributed Cloud propose deux types de groupes de confiance gérés pour les administrateurs de plate-forme :

trust-store-root-ext : contient l'autorité de certification racine interne et l'autorité de certification Web-TLS. Le contenu est différent selon son emplacement, par exemple la racine ou l'organisation locataire. Utilisez ce bundle de confiance pour communiquer au-delà des limites de l'organisation ou pour accéder à des services tels que le stockage d'objets au sein de l'organisation.
trust-store-global-root-ext : disponible dans l'espace de noms du serveur d'API mondial et du serveur d'API zonal platform. Lorsque le serveur d'API global est prêt, le bundle remplit toutes les autres données trust-store-root-ext zonales, y compris les données locales.

Récupérer le groupe de confiance

Vous pouvez récupérer des groupes de confiance à partir du point de terminaison du serveur connu ou du cluster à l'aide de kubectl.

Extraire du serveur connu

GDC fournit un moyen sécurisé d'accéder aux groupes de confiance via un point de terminaison de serveur bien connu. Utilisez cette méthode lorsque vous devez récupérer le bundle trust-store-global-root-ext sans interagir directement avec le cluster à l'aide de kubectl.

Exportez les variables d'environnement suivantes :
```
export STORAGE=STORAGE
export ORG_NAME=ORG_NAME
```
Remplacez les éléments suivants :
- STORAGE : chemin d'accès au répertoire dans lequel vous souhaitez stocker le fichier du groupe de confiance.
- ORG_NAME : nom de votre organisation dans GDC.

Définissez la variable d'environnement WELL_KNOWN_URL :

export WELL_KNOWN_URL=https://console.${ORG_NAME:?}.google.gdch.test/.well-known/certificate-authority

Définissez la variable d'environnement GLOBAL_TRUST_BUNDLE_FILE. Ce fichier stocke le bundle de confiance GDC en local à l'emplacement $STORAGE que vous avez spécifié.
```
export GLOBAL_TRUST_BUNDLE_FILE="$STORAGE/global/ca-bundles/global-trust-bundle"
```

Obtenez le bundle de confiance trust-store-global-root-ext à partir du serveur connu et stockez-le dans le fichier créé à l'étape précédente :

Linux

echo -n | curl ${WELL_KNOWN_URL:?} > ${GLOBAL_TRUST_BUNDLE_FILE:?}

Windows

Invoke-WebRequest -Uri "https://console.${ORG_NAME}.google.gdch.test/.well-known/certificate-authority" -OutFile ".\global-trust-bundle.crt"

Le fichier de groupe de confiance récupéré contient un ou plusieurs certificats d'autorité de certification. Le résultat ressemble à ce qui suit :

Récupérer des informations depuis le cluster à l'aide de kubectl

Vous pouvez récupérer les groupes de confiance directement à partir du cluster GDC à l'aide de l'outil de ligne de commande kubectl. Utilisez cette méthode si vous avez un accès direct au cluster et à sa configuration, et que vous devez récupérer les groupes de confiance trust-store-root-ext ou trust-store-global-root-ext.

Avant de pouvoir suivre la procédure décrite dans cette section, vous devez obtenir les éléments suivants :

Autorisations requises : demandez à votre administrateur IAM de l'organisation de vous accorder le rôle Lecteur du truststore (trust-store-viewer).
Fichier kubeconfig : connectez-vous et générez le fichier kubeconfig pour le serveur de l'API Management si vous n'en avez pas déjà un. Vous aurez besoin du chemin d'accès au fichier kubeconfig pour remplacer MANAGEMENT_API_SERVER_KUBECONFIG lors des étapes suivantes.

Récupérez le groupe de confiance du cluster à l'aide de kubectl :

Exportez les variables d'environnement suivantes :
```
export KUBECONFIG=MANAGEMENT_API_SERVER_KUBECONFIG
export STORAGE=STORAGE
export ZONE=ZONE
```
Remplacez les éléments suivants :
- MANAGEMENT_API_SERVER_KUBECONFIG : chemin d'accès au fichier kubeconfig du serveur de l'API Management.
- STORAGE : chemin d'accès au répertoire dans lequel vous souhaitez stocker le fichier du groupe de confiance.
- ZONE : nom de votre zone GDC.
Définissez la variable d'environnement TRUST_BUNDLE_FILE. Ce fichier stocke le bundle de confiance GDC en local à l'emplacement $STORAGE que vous avez spécifié pour votre $ZONE GDC :
```
export TRUST_BUNDLE_FILE="$STORAGE/$ZONE/ca-bundles/trust-bundle"
export GLOBAL_TRUST_BUNDLE_FILE="$STORAGE/global/ca-bundles/global-trust-bundle"
```
Définissez la variable d'environnement de l'espace de noms NS pour l'espace de noms :
```
export NS=platform
```

Obtenez les autorités de certification (CA) et stockez-les dans le fichier créé à l'étape 2 :

Pour trust-store-root-ext :

kubectl --kubeconfig ${KUBECONFIG} get secret trust-store-root-ext -n ${NS} -o go-template='{{ index .data "ca.crt" }}' | base64 -d | sed '$a\' > ${TRUST_BUNDLE_FILE}

Pour trust-store-global-root-ext :

kubectl --kubeconfig ${KUBECONFIG} get secret trust-store-global-root-ext -n ${NS} -o go-template='{{ index .data "ca.crt" }}' | base64 -d | sed '$a\' > ${GLOBAL_TRUST_BUNDLE_FILE}