Alterner les clés de compte de service

Pour alterner les clés du compte de service dans Google Distributed Cloud, vous devez mettre à jour les identifiants de cluster existants à l'aide de la commande bmctl. Cette rotation des clés de compte de service peut faire partie de vos processus réguliers de mise à jour des identifiants, ou être effectuée en réponse à une exposition potentielle des clés. Lorsque vous mettez à jour les identifiants d'un cluster, les nouvelles informations sont transmises aux clusters d'administrateur ou hybrides, ou acheminées automatiquement vers les clusters d'utilisateur concernés gérés par un cluster d'administrateur.

Identifiants du cluster pouvant être mis à jour

Les clusters Google Distributed Cloud nécessitent plusieurs identifiants lors de leur création. Vous définissez les identifiants dans la configuration du cluster lorsque vous créez un cluster d'administrateur, autonome ou hybride. Comme indiqué précédemment, les clusters d'utilisateur sont gérés par un cluster d'administrateur (ou un cluster hybride agissant en tant qu'administrateur) et réutilisent les mêmes identifiants que le cluster d'administrateur.

Pour en savoir plus sur la création de clusters et les différents types de clusters, consultez la section Présentation de l'installation : choisir un modèle de déploiement.

Vous pouvez mettre à jour les identifiants suivants et leurs secrets correspondants dans des clusters Google Distributed Cloud à l'aide de la commande bmctl :

  • Clé privée SSH : utilisée pour accéder au nœud.
  • Clé Container Registry (anthos-baremetal-gcr) : clé de compte de service utilisée pour s'authentifier auprès de Container Registry pour l'extraction d'images.
  • Clé de compte de service de l'agent Connect (anthos-baremetal-connect) : clé de compte de service utilisée par les pods de l'agent Connect.
  • Clé de compte de service du registre Connect (anthos-baremetal-register) : clé de compte de service utilisée pour s'authentifier auprès du Hub lors de l'enregistrement ou de l'annulation de l'enregistrement d'un cluster.
  • Clé de compte de service Cloud Operations (anthos-baremetal-cloud-ops) : clé de compte de service utilisée pour s'authentifier auprès des API Google Cloud Observability (journalisation et surveillance).

Mettre à jour les identifiants avec bmctl

Lorsque vous créez des clusters, Google Distributed Cloud crée des secrets Kubernetes en fonction de vos clés d'identification. Si vous générez de nouvelles clés, vous devez mettre à jour les secrets correspondants comme décrit dans les étapes suivantes. Si le nom ou le chemin d'accès à vos clés change, vous devez également mettre à jour le fichier de configuration du cluster correspondant.

  1. Préparez les nouvelles valeurs des identifiants que vous souhaitez mettre à jour :

    • Vous pouvez générer de nouvelles clés de compte de service Google via Google Cloud CLI ou la console Google Cloud.

    • Générez une nouvelle clé privée SSH sur le poste de travail d'administrateur et assurez-vous que les machines du nœud de cluster disposent de la clé publique correspondante.

  2. Mettez à jour la section des identifiants de votre fichier de configuration de cluster avec les chemins d'accès aux nouvelles clés.

  3. Mettez à jour les secrets du cluster correspondants avec la commande bmctl update credentials, en ajoutant les options appropriées.

    L'exemple suivant met à jour les identifiants pour une nouvelle clé privée SSH :

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
    --cluster CLUSTER_NAME \
    --ssh-private-key-path SSH_KEY_PATH

    Remplacez les éléments suivants :

    • ADMIN_KUBECONFIG : chemin d'accès au fichier kubeconfig du cluster d'administrateur ou autogéré.

    • CLUSTER_NAME : nom du cluster pour lequel vous mettez à jour la clé SSH.

    • SSH_KEY_PATH : chemin d'accès au fichier de clé SSH. Par défaut, bmctl vérifie les fichiers de clé SSH et de compte de service spécifiés dans le fichier de configuration du cluster. Si bmctl trouve un fichier de clé expirée, la commande échoue. Si le nouveau fichier de clé valide se trouve dans un emplacement différent de celui spécifié dans le fichier de configuration, incluez l'option --ignore-validation-errors pour éviter cet échec.

    Pour obtenir la liste complète des options que vous pouvez utiliser avec la commande bmctl update credentials, consultez la section Mettre à jour les identifiants dans la documentation de référence de la commande bmctl.