Dienstkontoschlüssel rotieren

Wenn Sie die Dienstkontoschlüssel in Google Distributed Cloud rotieren möchten, aktualisieren Sie die vorhandenen Clusteranmeldedaten mit dem Befehl bmctl. Diese Dienstkontoschlüsselrotation kann Teil Ihrer regelmäßigen Prozesse zur Aktualisierung von Anmeldedaten oder als Reaktion auf eine potenzielle Offenlegung der Schlüssel erfolgen. Wenn Sie Clusteranmeldedaten aktualisieren, werden die neuen Informationen an Administrator- oder Hybridcluster übergeben oder automatisch an die betroffenen Nutzercluster weitergeleitet, die von einem Administratorcluster verwaltet werden.

Cluster-Anmeldedaten, die aktualisiert werden können.

Google Distributed Cloud-Cluster erfordern mehrere Anmeldedaten, wenn sie erstellt werden. Sie legen die Anmeldedaten in der Clusterkonfiguration fest, wenn Sie einen Administrator-, eigenständigen oder hybriden Cluster erstellen. Nutzercluster wie zuvor beschrieben werden von einem Administratorcluster oder einem Hybridcluster verwaltet und verwenden dieselben Anmeldedaten vom Administrator-Cluster.

Weitere Informationen zum Erstellen von Clustern und verschiedenen Clustertypen finden Sie in der Installationsübersicht: Bereitstellungsmodell auswählen.

Sie können die folgenden Anmeldedaten und die zugehörigen Secrets in Google Distributed Cloud-Clustern mit dem Befehl bmctl aktualisieren:

  • Privater SSH-Schlüssel: Wird für den Knotenzugriff verwendet.
  • Container Registry-Schlüssel (anthos-baremetal-gcr): Dienstkontoschlüssel, der zum Authentifizieren bei Container Registry für das Abrufen von Images verwendet wird.
  • Connect-Agent-Dienstkontoschlüssel (anthos-baremetal-connect): Dienstkontoschlüssel, der von Connect-Agent-Pods verwendet wird.
  • Connect-Registry-Dienstkontoschlüssel (anthos-baremetal-register): Dienstkontoschlüssel, der zur Authentifizierung bei Hub bei der Registrierung oder Registrierung eines Clusters verwendet wird.
  • Cloud Operations-Dienstkontoschlüssel (anthos-baremetal-cloud-ops): Dienstkontoschlüssel zur Authentifizierung bei Google Cloud Observability-APIs (Logging und Monitoring).

Anmeldedaten mit bmctl aktualisieren

Wenn Sie Cluster erstellen, werden in Google Distributed Cloud Kubernetes-Secrets basierend auf Ihren Anmeldeschlüsseln erstellt. Wenn Sie neue Schlüssel generieren, müssen Sie die entsprechenden Secrets wie in den folgenden Schritten beschrieben aktualisieren. Wenn sich der Name oder Pfad zu Ihren Schlüsseln ändert, müssen Sie auch die entsprechende Clusterkonfigurationsdatei aktualisieren.

  1. Bereiten Sie die neuen Werte für die Anmeldedaten vor, die Sie aktualisieren möchten:

    • Sie können neue Google-Dienstkontoschlüssel generieren, indem Sie die Google Cloud CLI oder die Google Cloud Console verwenden.

    • Generieren Sie einen neuen privaten SSH-Schlüssel auf der Administrator-Workstation und achten Sie darauf, dass die Clusterknoten den entsprechenden öffentlichen Schlüssel haben.

  2. Aktualisieren Sie den Abschnitt „Anmeldedaten“ Ihrer Clusterkonfigurationsdatei mit Pfaden zu den neuen Schlüsseln.

  3. Aktualisieren Sie die entsprechenden Cluster-Secrets mit dem Befehl bmctl update credentials und fügen Sie die entsprechenden Flags hinzu.

    Im folgenden Beispiel werden die Anmeldedaten für einen neuen privaten SSH-Schlüssel aktualisiert:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
    --cluster CLUSTER_NAME \
    --ssh-private-key-path SSH_KEY_PATH

    Ersetzen Sie Folgendes:

    • ADMIN_KUBECONFIG: der Pfad der kubeconfig-Datei des Administrator- oder selbstverwalteten Clusters.

    • CLUSTER_NAME: der Name des Clusters, für den Sie den SSH-Schlüssel aktualisieren.

    • SSH_KEY_PATH: der Pfad zur SSH-Schlüsseldatei. Standardmäßig prüft bmctl die in der Clusterkonfigurationsdatei angegebenen SSH- und Dienstkontoschlüsseldateien. Wenn bmctl eine abgelaufene Schlüsseldatei findet, schlägt der Befehl fehl. Wenn sich die neue gültige Schlüsseldatei an einem anderen Speicherort als in der Konfigurationsdatei befindet, fügen Sie das Flag --ignore-validation-errors hinzu, um diesen Fehler zu vermeiden.

    Eine vollständige Liste der Flags, die Sie mit dem Befehl bmctl update credentials verwenden können, finden Sie in der Befehlsreferenz für bmctl unter update credentials (Anmeldedaten aktualisieren).