Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi
hubungan antara komponen
sistem dalam klaster-klaster. Sertifikat cluster
otoritas (CA) mengelola sertifikat
dan kunci ini. Saat Anda menjalankan
bmctl update credentials certificate-authorities rotate
,
Google Distributed Cloud melakukan tindakan berikut:
Membuat dan mengupload certificate authority (CA) cluster baru untuk CA cluster, CA {i>etcd<i}, dan CA {i>front-proxy<i} ke cluster pengguna pada cluster admin.
Pengontrol cluster admin menggantikan sertifikat cluster pengguna otoritas dengan otoritas yang baru dibuat.
Pengontrol cluster admin mendistribusikan sertifikat CA publik baru dan pasangan kunci sertifikat entitas akhir ke komponen sistem cluster pengguna.
Untuk mempertahankan komunikasi cluster yang aman, rotasikan CA cluster pengguna Anda secara berkala dan setiap kali terjadi kemungkinan pelanggaran keamanan.
Sebelum memulai
Sebelum merotasi certificate authority cluster Anda, rencanakan sesuai dengan kondisi dan dampak berikut:
Pastikan cluster pengguna dan admin memiliki versi 1.9.0 atau yang lebih tinggi sebelum memulai rotasi CA.
Rotasi CA bersifat inkremental, memungkinkan komponen sistem berkomunikasi selama rotasi.
Proses rotasi CA memulai ulang server API, proses bidang kontrol, dan pod di cluster pengguna.
Workload akan dimulai ulang dan dijadwalkan ulang selama rotasi CA.
Untuk konfigurasi cluster dengan ketersediaan tidak tinggi, tunggu beberapa saat periode nonaktif bidang kontrol selama rotasi CA.
Operasi pengelolaan cluster tidak diizinkan selama rotasi CA.
Durasi rotasi CA bergantung pada ukuran cluster Anda. Misalnya, CA rotasi membutuhkan waktu hampir dua jam untuk menyelesaikan sebuah cluster dengan satu bidang kontrol dan 50 node pekerja.
Batasan
Kemampuan rotasi {i>certificate authority<i} memiliki batasan berikut:
Rotasi CA tidak memperbarui sertifikat yang dikeluarkan secara manual oleh administrator, meskipun CA cluster menandatangani sertifikat. Perbarui dan distribusikan ulang setiap sertifikat yang diterbitkan secara manual setelah rotasi CA cluster pengguna selesai.
Setelah dimulai, rotasi CA tidak dapat dijeda atau di-roll back.
Memulai rotasi CA cluster
Gunakan perintah berikut untuk memulai proses rotasi CA:
bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
--kubeconfig KUBECONFIG
Ganti kode berikut:
CLUSTER_NAME
: nama cluster yang Anda ingin merotasi CA.KUBECONFIG
: jalur ke cluster admin {i>kubeconfig<i}. Untuk mengelola sendiri cluster, file ini adalah milik {i>kubeconfig<i}.
Perintah bmctl
akan keluar setelah CA berhasil dirotasi dan perubahan
file {i>kubeconfig<i} akan dibuat. Jalur standar untuk file {i>kubeconfig<i} adalah
bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig
.
Memecahkan masalah rotasi CA cluster
Perintah bmctl update credentials
menampilkan progres rotasi CA.
File update-credentials.log
terkait disimpan ke file berikut
direktori dengan stempel waktu:
bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP