Merotasi kunci akun layanan

Untuk merotasi kunci akun layanan di Google Distributed Cloud, Anda harus memperbarui kredensial cluster yang ada dengan perintah bmctl. Kunci akun layanan ini mungkin menjadi bagian dari proses reguler Anda untuk memperbarui kredensial, atau di respons terhadap potensi eksposur kunci. Saat Anda mengupdate cluster kredensial, informasi baru akan diteruskan ke cluster admin atau hybrid, atau secara otomatis dirutekan ke cluster pengguna yang terpengaruh yang dikelola oleh cluster admin.

Kredensial cluster yang dapat diupdate

Cluster Google Distributed Cloud memerlukan banyak kredensial saat dibuat. Anda menetapkan kredensial di konfigurasi cluster saat membuat admin, mandiri, atau hybrid. Cluster pengguna, seperti yang disebutkan sebelumnya, dikelola oleh cluster admin (atau cluster hybrid yang bertindak sebagai admin), dan akan menggunakan kembali kredensial yang sama dari cluster admin.

Untuk informasi selengkapnya tentang cara membuat klaster dan berbagai jenis klaster, lihat Ringkasan penginstalan: memilih model deployment.

Anda dapat memperbarui kredensial berikut, dan rahasia yang sesuai, di cluster Google Distributed Cloud dengan perintah bmctl:

  • Kunci pribadi SSH: Digunakan untuk akses node.
  • Kunci Container Registry (anthos-baremetal-gcr): Kunci akun layanan yang digunakan untuk melakukan autentikasi Container Registry untuk penarikan image.
  • Hubungkan kunci akun layanan agen (anthos-baremetal-connect): Kunci akun layanan yang digunakan oleh Menghubungkan pod agen.
  • Hubungkan kunci akun layanan registry (anthos-baremetal-register): Kunci akun layanan yang digunakan untuk mengautentikasi dengan Hub saat mendaftarkan atau membatalkan pendaftaran cluster.
  • Kunci akun layanan operasi Cloud (anthos-baremetal-cloud-ops): Kunci akun layanan untuk melakukan autentikasi dengan Google Cloud Observability (logging &pemantauan) Google Cloud Platform.

Perbarui kredensial dengan bmctl

Saat Anda membuat cluster, Google Distributed Cloud akan membuat Secret Kubernetes berdasarkan kunci kredensial Anda. Jika membuat kunci baru, Anda harus memperbarui Secret yang sesuai seperti yang dijelaskan dalam langkah-langkah berikut. Jika nama atau jalur mengubah kunci, Anda juga harus memperbarui cluster yang sesuai file konfigurasi Anda.

  1. Siapkan nilai baru untuk kredensial yang ingin diperbarui:

    • Anda dapat membuat kunci akun layanan Google baru melalui Google Cloud CLI atau melalui Konsol Google Cloud.

    • Buat kunci pribadi SSH baru di workstation admin dan pastikan mesin node cluster memiliki kunci publik yang sesuai.

  2. Memperbarui bagian kredensial file konfigurasi cluster dengan jalur ke kunci baru.

  3. Mengupdate Secret cluster yang sesuai dengan bmctl update credentials ini, menambahkan penanda yang sesuai.

    Contoh berikut memperbarui kredensial untuk kunci pribadi SSH yang baru:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
    --cluster CLUSTER_NAME \
    --ssh-private-key-path SSH_KEY_PATH

    Ganti kode berikut:

    • ADMIN_KUBECONFIG: jalur file kubeconfig untuk admin atau cluster yang dikelola sendiri.

    • CLUSTER_NAME: nama cluster tempat Anda memperbarui kunci SSH untuk.

    • SSH_KEY_PATH: jalur file kunci SSH. Menurut secara default, bmctl akan memeriksa file kunci SSH dan akun layanan yang ditentukan dalam file konfigurasi cluster. Jika bmctl menemukan file kunci yang sudah tidak berlaku, perintah tersebut gagal. Jika Anda memiliki file kunci valid baru di folder lokasi daripada yang ditentukan dalam file konfigurasi, sertakan --ignore-validation-errors untuk menghindari kegagalan ini.

    Untuk mengetahui daftar lengkap tanda yang dapat Anda gunakan dengan perintah bmctl update credentials, lihat memperbarui kredensial di bmctl referensi perintah.