Merotasi kunci akun layanan

Untuk merotasi kunci akun layanan di Google Distributed Cloud, Anda memperbarui kredensial cluster yang ada dengan perintah bmctl. Rotasi kunci akun layanan ini mungkin merupakan bagian dari proses rutin Anda untuk memperbarui kredensial, atau sebagai respons terhadap potensi kebocoran kunci. Saat Anda memperbarui kredensial cluster, informasi baru akan diteruskan ke cluster admin atau hybrid, atau otomatis dirutekan ke cluster pengguna yang terpengaruh yang dikelola oleh cluster admin.

Kredensial cluster yang dapat diupdate

Cluster Google Distributed Cloud memerlukan beberapa kredensial saat dibuat. Anda menetapkan kredensial dalam konfigurasi cluster saat membuat cluster admin, mandiri, atau hybrid. Cluster pengguna, seperti yang disebutkan sebelumnya, dikelola oleh cluster admin (atau cluster hybrid yang bertindak sebagai admin), dan akan menggunakan kembali kredensial yang sama dari cluster admin.

Untuk mengetahui informasi selengkapnya tentang cara membuat cluster dan berbagai jenis cluster, lihat Ringkasan penginstalan: memilih model deployment.

Anda dapat memperbarui kredensial berikut, dan secret yang sesuai, di cluster Google Distributed Cloud dengan perintah bmctl:

• Kunci pribadi SSH: Digunakan untuk akses node.
• Kunci Artifact Registry (anthos-baremetal-gcr): Kunci akun layanan yang digunakan untuk mengautentikasi dengan Artifact Registry untuk menarik image.
• Kunci akun layanan agen Connect (anthos-baremetal-connect): Kunci akun layanan yang digunakan oleh pod agen Connect.
• Kunci akun layanan pendaftaran Connect (anthos-baremetal-register): Kunci akun layanan yang digunakan untuk mengautentikasi dengan Hub saat mendaftarkan atau membatalkan pendaftaran cluster.
• Kunci akun layanan operasi cloud (anthos-baremetal-cloud-ops): Kunci akun layanan untuk mengautentikasi dengan Google Cloud Observability (logging & monitoring) API.

Perbarui kredensial dengan bmctl

Saat Anda membuat cluster, Google Distributed Cloud akan membuat Secret Kubernetes berdasarkan kunci kredensial Anda. Jika Anda membuat kunci baru, Anda harus memperbarui Secret yang sesuai seperti yang dijelaskan dalam langkah-langkah berikut. Jika nama atau jalur ke kunci Anda berubah, Anda juga harus memperbarui file konfigurasi cluster yang sesuai.

1. Siapkan nilai baru untuk kredensial yang ingin Anda perbarui:

   • Anda dapat membuat kunci akun layanan Google baru melalui Google Cloud CLI atau melalui konsol Google Cloud .

   • Buat kunci pribadi SSH baru di workstation admin dan pastikan mesin node cluster memiliki kunci publik yang sesuai.

2. Perbarui bagian kredensial file konfigurasi cluster Anda dengan jalur ke kunci baru.

3. Perbarui Secret cluster yang sesuai dengan perintah bmctl update credentials dengan menambahkan flag yang sesuai.

   Contoh berikut memperbarui kredensial untuk kunci pribadi SSH baru:

   bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
       --cluster CLUSTER_NAME \
       --ssh-private-key-path SSH_KEY_PATH
   

   Ganti kode berikut:

   • ADMIN_KUBECONFIG: jalur file kubeconfig dari cluster admin atau yang dikelola sendiri.

   • CLUSTER_NAME: nama cluster yang SSH key-nya Anda perbarui.

   • SSH_KEY_PATH: jalur file kunci SSH. Secara default, bmctl memeriksa file kunci SSH dan akun layanan yang ditentukan dalam file konfigurasi cluster. Jika bmctl menemukan file kunci yang sudah tidak berlaku, perintah akan gagal. Jika Anda memiliki file kunci baru yang valid di lokasi yang berbeda dengan yang ditentukan dalam file konfigurasi, sertakan tanda --ignore-validation-errors untuk menghindari kegagalan ini.

   Untuk daftar lengkap flag yang dapat Anda gunakan dengan perintah bmctl update credentials, lihat update credentials di referensi perintah bmctl.