Google Distributed Cloud utilizza certificati e chiavi private per l'autenticazione e la crittografia
e connessioni tra i componenti di sistema
nei cluster. Il certificato del cluster
l'autorità di certificazione (CA) gestisce questi certificati e chiavi. Quando esegui il comando
bmctl update credentials certificate-authorities rotate
,
Google Distributed Cloud esegue le seguenti azioni:
Crea e carica nuove autorità di certificazione (CA) del cluster per il la CA del cluster, la CA etcd e la CA del proxy frontale al cluster utente nel cluster di amministrazione.
I controller del cluster di amministrazione sostituiscono il certificato del cluster utente autorità con quelle appena generate.
I controller del cluster di amministrazione distribuiscono i nuovi certificati CA pubblici e di coppie di chiavi dei certificati foglia ai componenti di sistema del cluster utente.
Per mantenere le comunicazioni sicure tra il cluster, ruota la CA del cluster utente periodicamente e ogni volta che si verifica una possibile violazione della sicurezza.
Prima di iniziare
Prima di ruotare l'autorità di certificazione del cluster, pianifica in base al le seguenti condizioni e impatti:
Assicurati che i cluster di amministrazione e utente siano alla versione 1.9.0 o successiva prima avviando la rotazione della CA.
La rotazione delle CA è incrementale e consente ai componenti di sistema di comunicare durante la rotazione.
Il processo di rotazione CA riavvia il server API, elabora il piano di controllo e pod nel cluster utente.
I carichi di lavoro potrebbero essere riavviati e ripianificati durante la rotazione delle CA.
Per le configurazioni di cluster non ad alta disponibilità, sono previsti brevi periodi di tempo di inattività del piano di controllo durante la rotazione della CA.
Le operazioni di gestione del cluster non sono consentite durante la rotazione della CA.
La durata della rotazione CA dipende dalle dimensioni del cluster. Ad esempio, CA il completamento della rotazione può richiedere circa due ore per un cluster un piano di controllo e 50 nodi worker.
Limitazioni
La funzionalità di rotazione dell'autorità di certificazione ha seguenti:
La rotazione CA non aggiorna i certificati emessi manualmente da un amministratore, anche se la CA del cluster firma i certificati. Aggiornare e ridistribuire qualsiasi certificati emessi manualmente al termine della rotazione della CA del cluster utente.
Una volta avviata, la rotazione CA non può essere messa in pausa o rollback.
Avvia una rotazione CA del cluster
Utilizza il seguente comando per avviare il processo di rotazione della CA:
bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
--kubeconfig KUBECONFIG
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del cluster per il quale vuoi ruotare le CA.KUBECONFIG
: il percorso del cluster di amministrazione kubeconfig. Per i cluster a gestione autonoma, questo file è l'agente del cluster kubeconfig.
Il comando bmctl
si chiude dopo che la CA viene ruotata correttamente e viene
viene generato il file kubeconfig. Il percorso standard per il file kubeconfig è
bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig
.
Risolvi i problemi relativi alla rotazione delle CA del cluster
Il comando bmctl update credentials
mostra l'avanzamento della rotazione della CA.
Il file update-credentials.log
associato viene salvato nel seguente modo
con timestamp:
bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP