Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi
koneksi antar-komponen sistem dalam cluster. Certificate authority (CA)
cluster mengelola sertifikat dan kunci ini. Saat Anda menjalankan perintah bmctl
update credentials certificate-authorities rotate
,
Google Distributed Cloud akan melakukan tindakan berikut:
Perintah ini membuat dan mengupload cluster certificate authority (CA) baru untuk CA cluster, CA etcd, dan CA front-proxy ke namespace cluster pengguna di cluster admin.
Pengontrol cluster admin mengganti otoritas sertifikat cluster pengguna dengan yang baru dibuat.
Pengontrol cluster admin mendistribusikan sertifikat CA publik baru dan pasangan kunci sertifikat leaf ke komponen sistem cluster pengguna.
Perintah ini juga memperbarui Secret
stackdriver-prometheus-etcd-scrape
, yang dibuat oleh Google Distributed Cloud selama pembuatan cluster. Prometheus memerlukan secret ini untuk mengumpulkan metrik etcd.
Untuk mempertahankan komunikasi cluster yang aman, putar CA cluster pengguna secara berkala dan setiap kali ada kemungkinan pelanggaran keamanan.
Sebelum memulai
Sebelum memutar otoritas sertifikasi cluster, buat rencana sesuai dengan kondisi dan dampak berikut:
Pastikan cluster admin dan pengguna menggunakan versi 1.9.0 atau yang lebih tinggi sebelum memulai rotasi CA.
Rotasi CA bersifat inkremental, sehingga komponen sistem dapat berkomunikasi selama rotasi.
Rotasi CA memulai ulang server API, proses bidang kontrol lainnya, dan setiap node di cluster beberapa kali. Setiap tahap rotasi CA berlangsung serupa dengan upgrade cluster. Meskipun cluster pengguna tetap beroperasi selama rotasi CA, Anda harus mengharapkan bahwa beban kerja akan dimulai ulang dan dijadwalkan ulang.
Jika cluster pengguna Anda tidak memiliki panel kontrol dengan ketersediaan tinggi, perkirakan periode downtime panel kontrol yang singkat selama rotasi CA.
Operasi pengelolaan cluster tidak diizinkan selama rotasi CA.
Durasi rotasi CA bergantung pada ukuran cluster Anda. Misalnya, rotasi CA mungkin memerlukan waktu hampir dua jam untuk diselesaikan untuk cluster dengan satu bidang kontrol dan 50 node pekerja.
Batasan
Kemampuan rotasi certificate authority memiliki batasan berikut:
Rotasi CA tidak memperbarui sertifikat yang diterbitkan secara manual oleh administrator, meskipun CA cluster menandatangani sertifikat. Perbarui dan distribusikan ulang sertifikat yang diterbitkan secara manual setelah rotasi CA cluster pengguna selesai.
Setelah dimulai, rotasi CA tidak dapat dijeda atau di-roll back.
Memulai rotasi CA cluster
Secara default, sertifikat TLS memiliki periode habis masa berlaku 1 tahun. Google Distributed Cloud memperpanjang sertifikat ini saat Anda merotasi otoritas sertifikat. Google Distributed Cloud juga memperpanjang sertifikat TLS selama upgrade cluster. Sebaiknya upgrade cluster secara berkala agar tetap aman, didukung, dan mencegah sertifikat TLS berakhir masa berlakunya.
Gunakan perintah berikut untuk memulai proses rotasi CA:
bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
--kubeconfig KUBECONFIG
Ganti kode berikut:
CLUSTER_NAME
: nama cluster yang CA-nya ingin Anda putar.KUBECONFIG
: jalur ke file kubeconfig cluster admin. Untuk cluster yang mengelola sendiri, file ini adalah file kubeconfig cluster.
Perintah bmctl
akan keluar setelah CA berhasil dirotasi dan file
kubeconfig baru dibuat. Jalur standar untuk file kubeconfig adalah
bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig
.
Memecahkan masalah rotasi CA cluster
Perintah bmctl update credentials
menampilkan progres rotasi CA.
File update-credentials.log
terkait disimpan ke direktori berstempel waktu
berikut:
bmctl-workspace/CLUSTER_NAME /log/update-credentials-TIMESTAMP