Rotar las claves de cuenta de servicio

Para rotar las claves de la cuenta de servicio en Google Distributed Cloud, actualiza las credenciales del clúster con el comando bmctl. La rotación de esta clave de cuenta de servicio puede formar parte de tus procesos habituales para actualizar las credenciales o realizarse en respuesta a una posible exposición de las claves. Cuando actualizas las credenciales del clúster, la nueva información se transfiere a los clústeres de administrador o híbridos, o se dirige automáticamente a los clústeres de usuario afectados gestionados por un clúster de administrador.

Credenciales de clúster que se pueden actualizar

Los clústeres de Google Distributed Cloud requieren varias credenciales cuando se crean. Las credenciales se definen en la configuración del clúster al crear un clúster de administrador, independiente o híbrido. Como se ha indicado anteriormente, los clústeres de usuarios se gestionan mediante un clúster de administradores (o un clúster híbrido que actúe como administrador) y reutilizarán las mismas credenciales del clúster de administradores.

Para obtener más información sobre cómo crear clústeres y los distintos tipos de clústeres, consulta el artículo Descripción general de la instalación: elegir un modelo de implementación.

Puedes actualizar las siguientes credenciales y sus secretos correspondientes en los clústeres de Google Distributed Cloud con el comando bmctl:

  • Clave privada SSH: se usa para acceder a los nodos.
  • Clave de Artifact Registry (anthos-baremetal-gcr): clave de cuenta de servicio que se usa para autenticarte en Artifact Registry para extraer imágenes.
  • Clave de cuenta de servicio del agente de Connect (anthos-baremetal-connect): clave de cuenta de servicio utilizada por los pods del agente de Connect.
  • Conectar la clave de la cuenta de servicio de registro (anthos-baremetal-register): clave de la cuenta de servicio que se usa para autenticar con Hub al registrar o anular el registro de un clúster.
  • Clave de cuenta de servicio de operaciones en la nube (anthos-baremetal-cloud-ops): clave de cuenta de servicio para autenticarte con las APIs de Observabilidad de Google Cloud (registro y monitorización).

Actualizar las credenciales con bmctl

Cuando creas clústeres, Google Distributed Cloud crea secretos de Kubernetes basados en tus claves de credenciales. Si generas claves nuevas, debes actualizar los secretos correspondientes tal como se describe en los pasos siguientes. Si cambia el nombre o la ruta de tus claves, también debes actualizar el archivo de configuración del clúster correspondiente.

  1. Prepara los nuevos valores de las credenciales que quieras actualizar:

    • Puedes generar nuevas claves de cuenta de servicio de Google mediante la CLI de Google Cloud o la consola de Google Cloud .

    • Genera una nueva clave privada SSH en la estación de trabajo del administrador y asegúrate de que los nodos del clúster tengan la clave pública correspondiente.

  2. Actualiza la sección de credenciales del archivo de configuración del clúster con las rutas a las nuevas claves.

  3. Actualiza los secretos del clúster correspondientes con el comando bmctl update credentials y añade las marcas adecuadas.

    En el siguiente ejemplo se actualizan las credenciales de una nueva clave privada SSH:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
    --cluster CLUSTER_NAME \
    --ssh-private-key-path SSH_KEY_PATH

    Haz los cambios siguientes:

    • ADMIN_KUBECONFIG: la ruta del archivo kubeconfig del clúster de administrador o autogestionado.

    • CLUSTER_NAME: el nombre del clúster cuya clave SSH quieres actualizar.

    • SSH_KEY_PATH: la ruta del archivo de claves SSH. De forma predeterminada, bmctl comprueba los archivos de claves SSH y de cuenta de servicio especificados en el archivo de configuración del clúster. Si bmctl encuentra un archivo de clave caducado, el comando falla. Si tiene el nuevo archivo de clave válido en una ubicación distinta a la especificada en el archivo de configuración, incluya la marca --ignore-validation-errors para evitar este error.

    Para ver una lista completa de las marcas que puedes usar con el comando bmctl update credentials, consulta update credentials en la referencia del comando bmctl.