Merotasi kunci akun layanan

Untuk merotasi kunci akun layanan di Google Distributed Cloud, Anda harus memperbarui kredensial cluster yang ada dengan perintah bmctl. Rotasi kunci akun layanan ini mungkin sebagai bagian dari proses rutin Anda untuk memperbarui kredensial, atau sebagai respons terhadap potensi eksposur kunci. Saat Anda memperbarui kredensial cluster, informasi baru akan diteruskan ke cluster admin atau campuran, atau otomatis dirutekan ke cluster pengguna yang terpengaruh dan dikelola oleh cluster admin.

Kredensial cluster yang dapat diperbarui

Cluster Google Distributed Cloud memerlukan beberapa kredensial saat dibuat. Anda menetapkan kredensial di konfigurasi cluster saat membuat cluster admin, mandiri, atau campuran. Cluster pengguna, seperti yang disebutkan sebelumnya, dikelola oleh cluster admin (atau cluster campuran yang bertindak sebagai admin), dan akan menggunakan kembali kredensial yang sama dari cluster admin.

Untuk mengetahui informasi selengkapnya tentang cara membuat cluster dan berbagai jenis cluster, lihat Ringkasan penginstalan: memilih model deployment.

Anda dapat memperbarui kredensial berikut, dan secret yang sesuai, di cluster Google Distributed Cloud dengan perintah bmctl:

  • Kunci pribadi SSH: Digunakan untuk akses node.
  • Kunci Container Registry (anthos-baremetal-gcr): Kunci akun layanan yang digunakan untuk mengautentikasi dengan Container Registry untuk pengambilan image.
  • Kunci akun layanan agen Connect (anthos-baremetal-connect): Kunci akun layanan yang digunakan oleh pod agen Connect.
  • Kunci akun layanan registry Connect (anthos-baremetal-register): Kunci akun layanan yang digunakan untuk mengautentikasi dengan Hub saat mendaftarkan atau membatalkan pendaftaran cluster.
  • Kunci akun layanan operasi cloud (anthos-baremetal-cloud-ops): Kunci akun layanan untuk mengautentikasi dengan API Google Cloud Observability (logging & pemantauan).

Memperbarui kredensial dengan bmctl

Saat Anda membuat cluster, Google Distributed Cloud akan membuat Kubernetes Secrets berdasarkan kunci kredensial Anda. Jika membuat kunci baru, Anda harus memperbarui Secret yang sesuai seperti yang dijelaskan dalam langkah-langkah berikut. Jika nama atau jalur ke kunci berubah, Anda juga harus memperbarui file konfigurasi cluster yang sesuai.

  1. Siapkan nilai baru untuk kredensial yang ingin Anda perbarui:

    • Anda dapat membuat kunci akun layanan Google baru melalui Google Cloud CLI atau melalui konsol Google Cloud.

    • Buat kunci pribadi SSH baru di workstation admin dan pastikan komputer node cluster memiliki kunci publik yang sesuai.

  2. Perbarui bagian kredensial di file konfigurasi cluster Anda dengan jalur ke kunci baru.

  3. Perbarui Secret cluster yang sesuai dengan perintah bmctl update credentials, dengan menambahkan flag yang sesuai.

    Contoh berikut memperbarui kredensial untuk kunci pribadi SSH baru:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
    --cluster CLUSTER_NAME \
    --ssh-private-key-path SSH_KEY_PATH

    Ganti kode berikut:

    • ADMIN_KUBECONFIG: jalur file kubeconfig cluster admin atau cluster yang dikelola sendiri.

    • CLUSTER_NAME: nama cluster tempat Anda memperbarui kunci SSH.

    • SSH_KEY_PATH: jalur file kunci SSH. Secara default, bmctl memeriksa file kunci SSH dan akun layanan yang ditentukan dalam file konfigurasi cluster. Jika bmctl menemukan file kunci yang sudah tidak berlaku, perintah akan gagal. Jika Anda memiliki file kunci baru yang valid di lokasi yang berbeda dengan yang ditentukan dalam file konfigurasi, sertakan tanda --ignore-validation-errors untuk menghindari kegagalan ini.

    Untuk daftar lengkap flag yang dapat Anda gunakan dengan perintah bmctl update credentials, lihat memperbarui kredensial dalam referensi perintah bmctl.