Ruotare le chiavi dell'account di servizio

Per ruotare le chiavi del account di servizio in Google Distributed Cloud, aggiorna le credenziali del cluster esistenti con il comando bmctl. La rotazione di questa chiave del account di servizio potrebbe avvenire nell'ambito delle tue procedure regolari di aggiornamento delle credenziali o in risposta a una potenziale esposizione delle chiavi. Quando aggiorni le credenziali del cluster, le nuove informazioni vengono trasmesse ai cluster di amministrazione o ibridi oppure vengono indirizzate automaticamente ai cluster utente interessati gestiti da un cluster di amministrazione.

Credenziali del cluster che possono essere aggiornate

I cluster Google Distributed Cloud richiedono più credenziali al momento della creazione. Imposti le credenziali nella configurazione del cluster quando crei un cluster amministratore, autonomo o ibrido. Come indicato in precedenza, i cluster utente sono gestiti da un cluster di amministrazione (o da un cluster ibrido che funge da amministratore) e riutilizzeranno le stesse credenziali del cluster di amministrazione.

Per ulteriori informazioni sulla creazione di cluster e sui diversi tipi di cluster, consulta Panoramica dell'installazione: scelta di un modello di deployment.

Puoi aggiornare le seguenti credenziali e i relativi secret nei cluster Google Distributed Cloud con il comando bmctl:

• Chiave privata SSH: utilizzata per l'accesso ai nodi.
• Chiave Artifact Registry (anthos-baremetal-gcr): chiave dell'account di servizio utilizzata per l'autenticazione con Artifact Registry per il pull delle immagini.
• Connect agent service account key (anthos-baremetal-connect): chiave dell'account di servizio utilizzata dai pod di Connect Agent.
• Chiave del account di servizio di registrazione di Connect (anthos-baremetal-register): chiave del service account utilizzata per l'autenticazione con Hub durante la registrazione o l'annullamento della registrazione di un cluster.
• Chiave del account di servizio del servizio Cloud Operations (anthos-baremetal-cloud-ops): Chiave del service account per l'autenticazione con le API Google Cloud Observability (logging e monitoraggio).

Aggiorna le credenziali con bmctl

Quando crei cluster, Google Distributed Cloud crea i secret Kubernetes in base alle chiavi delle credenziali. Se generi nuove chiavi, devi aggiornare i segreti corrispondenti come descritto nei passaggi seguenti. Se il nome o il percorso delle chiavi cambia, devi aggiornare anche il file di configurazione del cluster corrispondente.

1. Prepara i nuovi valori per le credenziali che vuoi aggiornare:

   • Puoi generare nuove chiavi dell'account di servizio Google tramite Google Cloud CLI o tramite la console Google Cloud .

   • Genera una nuova chiave privata SSH sulla workstation di amministrazione e assicurati che le macchine dei nodi del cluster abbiano la chiave pubblica corrispondente.

2. Aggiorna la sezione delle credenziali del file di configurazione del cluster con i percorsi alle nuove chiavi.

3. Aggiorna i secret del cluster corrispondenti con il comando bmctl update credentials, aggiungendo i flag appropriati.

   L'esempio seguente aggiorna le credenziali per una nuova chiave privata SSH:

   bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
       --cluster CLUSTER_NAME \
       --ssh-private-key-path SSH_KEY_PATH
   

   Sostituisci quanto segue:

   • ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione o autogestito.

   • CLUSTER_NAME: il nome del cluster per cui stai aggiornando la chiave SSH.

   • SSH_KEY_PATH: il percorso del file della chiave SSH. Per impostazione predefinita, bmctl controlla i file di chiave SSH eaccount di serviziot specificati nel file di configurazione del cluster. Se bmctl trova un file di chiavi scaduto, il comando non va a buon fine. Se il nuovo file delle chiavi valido si trova in una posizione diversa da quella specificata nel file di configurazione, includi il flag --ignore-validation-errors per evitare questo errore.

   Per un elenco completo dei flag che puoi utilizzare con il comando bmctl update credentials, consulta update credentials nella documentazione di riferimento del comando bmctl.