Ruota le autorità di certificazione

Google Distributed Cloud utilizza certificati e chiavi private per autenticare e criptare le connessioni tra i componenti di sistema nei cluster. L'autorità di certificazione (CA) del cluster gestisce questi certificati e queste chiavi. Quando esegui il comando bmctl update credentials certificate-authorities rotate, Google Distributed Cloud esegue le seguenti azioni:

  • Crea e carica nuove autorità di certificazione (CA) del cluster per la CA del cluster, la CA etcd e la CA front-proxy nello spazio dei nomi del cluster utente nel cluster di amministrazione.

  • I controller del cluster di amministrazione sostituiscono il certificato del cluster utente autorità con quelle appena generate.

  • I controller del cluster di amministrazione distribuiscono i nuovi certificati CA pubblici e di coppie di chiavi dei certificati foglia ai componenti di sistema del cluster utente.

Per mantenere la comunicazione del cluster sicura, ruota la CA del cluster utente periodicamente e ogni volta che si verifica una possibile violazione della sicurezza.

Prima di iniziare

Prima di ruotare l'autorità di certificazione del cluster, pianifica in base al le seguenti condizioni e impatti:

  • Assicurati che i cluster di amministrazione e utente siano alla versione 1.9.0 o successiva prima avviando la rotazione della CA.

  • La rotazione delle CA è incrementale, il che consente ai componenti di sistema di comunicare durante la rotazione.

  • Il processo di rotazione CA riavvia il server API, elabora il piano di controllo e pod nel cluster utente.

  • I carichi di lavoro potrebbero essere riavviati e ripianificati durante la rotazione delle CA.

  • Per le configurazioni dei cluster non ad alta disponibilità, sono previsti brevi periodi di tempo di inattività del piano di controllo durante la rotazione della CA.

  • Le operazioni di gestione dei cluster non sono consentite durante la rotazione della CA.

  • La durata della rotazione delle CA dipende dalle dimensioni del cluster. Ad esempio, CA il completamento della rotazione può richiedere circa due ore per un cluster un piano di controllo e 50 nodi worker.

Limitazioni

La funzionalità di rotazione delle autorità di certificazione presenta le seguenti limitazioni:

  • La rotazione CA non aggiorna i certificati emessi manualmente da un amministratore, anche se la CA del cluster firma i certificati. Aggiornare e ridistribuire qualsiasi certificati emessi manualmente al termine della rotazione della CA del cluster utente.

  • Una volta avviata, la rotazione CA non può essere messa in pausa o rollback.

Avvia una rotazione CA del cluster

Utilizza il seguente comando per avviare la procedura di rotazione della CA:

bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
    --kubeconfig KUBECONFIG

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del cluster per il quale vuoi ruotare le CA.
  • KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione. Per i cluster a gestione autonoma, questo file è l'agente del cluster kubeconfig.

Il comando bmctl esce dopo la rotazione della CA e la generazione di un nuovo file kubeconfig. Il percorso standard per il file kubeconfig è bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Risolvi i problemi relativi alla rotazione delle CA del cluster

Il comando bmctl update credentials mostra l'avanzamento della rotazione della CA. Il file update-credentials.log associato viene salvato nel seguente modo con timestamp:

bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP