Cluster Anthos on bare metal kini menjadi Google Distributed Cloud (khusus software) untuk bare metal. Untuk mengetahui informasi selengkapnya, lihat ringkasan produk.

Halaman ini diterjemahkan oleh Cloud Translation API.

Merotasi certificate authority

Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi koneksi antar-komponen sistem dalam cluster. Certificate authority (CA) cluster mengelola sertifikat dan kunci ini. Saat Anda menjalankan perintah bmctl update credentials certificate-authorities rotate, Google Distributed Cloud akan melakukan tindakan berikut:

Membuat dan mengupload cluster certificate authority (CA) baru untuk CA cluster, CA etcd, dan CA front-proxy ke namespace cluster pengguna di cluster admin.
Pengontrol cluster admin mengganti otoritas sertifikat cluster pengguna dengan yang baru dibuat.
Pengontrol cluster admin mendistribusikan sertifikat CA publik baru dan pasangan kunci sertifikat leaf ke komponen sistem cluster pengguna.

Untuk mempertahankan komunikasi cluster yang aman, putar CA cluster pengguna secara berkala dan setiap kali ada kemungkinan pelanggaran keamanan.

Sebelum memulai

Sebelum memutar otoritas sertifikasi cluster, buat rencana sesuai dengan kondisi dan dampak berikut:

Pastikan cluster admin dan pengguna menggunakan versi 1.9.0 atau yang lebih tinggi sebelum memulai rotasi CA.
Rotasi CA bersifat inkremental, sehingga komponen sistem dapat berkomunikasi selama rotasi.
Proses rotasi CA akan memulai ulang server API, proses bidang kontrol, dan pod di cluster pengguna.
Bersiaplah untuk memulai ulang dan menjadwalkan ulang workload selama rotasi CA.
Untuk konfigurasi cluster non-ketersediaan tinggi, perkirakan periode singkat downtime bidang kontrol selama rotasi CA.
Operasi pengelolaan cluster tidak diizinkan selama rotasi CA.
Durasi rotasi CA bergantung pada ukuran cluster Anda. Misalnya, rotasi CA mungkin memerlukan waktu hampir dua jam untuk diselesaikan untuk cluster dengan satu bidang kontrol dan 50 node pekerja.

Batasan

Kemampuan rotasi certificate authority memiliki batasan berikut:

Rotasi CA tidak memperbarui sertifikat yang diterbitkan secara manual oleh administrator, meskipun CA cluster menandatangani sertifikat. Perbarui dan distribusikan ulang sertifikat yang diterbitkan secara manual setelah rotasi CA cluster pengguna selesai.
Setelah dimulai, rotasi CA tidak dapat dijeda atau di-roll back.

Memulai rotasi CA cluster

Gunakan perintah berikut untuk memulai proses rotasi CA:

bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
    --kubeconfig KUBECONFIG

Ganti kode berikut:

CLUSTER_NAME: nama cluster yang CA-nya ingin Anda putar.
KUBECONFIG: jalur ke file kubeconfig cluster admin. Untuk cluster yang mengelola sendiri, file ini adalah file kubeconfig cluster.

Perintah bmctl akan keluar setelah CA berhasil dirotasi dan file kubeconfig baru dibuat. Jalur standar untuk file kubeconfig adalah bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Memecahkan masalah rotasi CA cluster

Perintah bmctl update credentials menampilkan progres rotasi CA. File update-credentials.log terkait disimpan ke direktori berstempel waktu berikut:

bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP