Ruotare le chiavi dell'account di servizio

Per ruotare le chiavi dell'account di servizio in Google Distributed Cloud, aggiorna le credenziali del cluster esistente con il comando bmctl. Questa rotazione delle chiavi dell'account di servizio potrebbe essere parte delle normali procedure di aggiornamento delle credenziali o essere in risposta a una potenziale esposizione delle chiavi. Quando aggiorni le credenziali del cluster, le nuove informazioni vengono passate ai cluster di amministrazione o ibrida o inoltrate automaticamente ai cluster utente interessati gestiti da un cluster di amministrazione.

Credenziali del cluster che possono essere aggiornate

I cluster Google Distributed Cloud richiedono più credenziali al momento della creazione. Imposti le credenziali nella configurazione del cluster quando crei un cluster di amministrazione, autonomo o ibrido. I cluster utente, come indicato in precedenza, sono gestiti da un cluster di amministrazione (o da un cluster ibrido che funge da amministratore) e riutilizzeranno le stesse credenziali del cluster di amministrazione.

Per ulteriori informazioni sulla creazione di cluster e di diversi tipi di cluster, consulta Panoramica dell'installazione: scelta di un modello di deployment.

Puoi aggiornare le seguenti credenziali e i relativi secret nei cluster Google Distributed Cloud con il comando bmctl:

  • Chiave privata SSH: utilizzata per l'accesso al nodo.
  • Chiave Container Registry (anthos-baremetal-gcr): chiave dell'account di servizio utilizzata per l'autenticazione con Container Registry per il recupero delle immagini.
  • Chiave dell'account di servizio dell'agente Connect (anthos-baremetal-connect): chiave dell'account di servizio utilizzata dai pod dell'agente Connect.
  • Chiave dell'account di servizio del registry Connect (anthos-baremetal-register): chiave dell'account di servizio utilizzata per autenticarsi con Hub durante la registrazione o la disattivazione di un cluster.
  • Chiave dell'account di servizio Cloud Operations (anthos-baremetal-cloud-ops): chiave dell'account di servizio per l'autenticazione con le API di Google Cloud Observability (registrazione e monitoraggio).

Aggiorna le credenziali con bmctl

Quando crei i cluster, Google Distributed Cloud crea i segreti Kubernetes in base alle tue chiavi delle credenziali. Se generi nuove chiavi, devi aggiornare i segreti corrispondenti come descritto nei passaggi che seguono. Se il nome o il percorso alle chiavi cambia, devi aggiornare anche il file di configurazione del cluster corrispondente.

  1. Prepara i nuovi valori per le credenziali che vuoi aggiornare:

    • Puoi generare nuove chiavi degli account di servizio Google tramite Google Cloud CLI o la console Google Cloud.

    • Genera una nuova chiave privata SSH sulla workstation di amministrazione e assicurati che le macchine dei nodi del cluster abbiano la chiave pubblica corrispondente.

  2. Aggiorna la sezione delle credenziali del file di configurazione del cluster con i percorsi alle nuove chiavi.

  3. Aggiorna i secret del cluster corrispondente con il comando bmctl update credentials aggiungendo i flag appropriati.

    Il seguente esempio aggiorna le credenziali di una nuova chiave privata SSH:

    bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \
        --cluster CLUSTER_NAME \
        --ssh-private-key-path SSH_KEY_PATH
    

    Sostituisci quanto segue:

    • ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione o autonomo.

    • CLUSTER_NAME: il nome del cluster per cui stai aggiornando la chiave SSH.

    • SSH_KEY_PATH: il percorso del file della chiave SSH. Per impostazione predefinita, bmctl controlla i file delle chiavi SSH e dell'account di servizio specificati nel file di configurazione del cluster. Se bmctl trova un file della chiave scaduto, il comando non va a buon fine. Se il nuovo file della chiave valido si trova in una posizione diversa da quella specificata nel file di configurazione, includi il flag --ignore-validation-errors per evitare questo errore.

    Per un elenco completo dei flag che puoi utilizzare con il comando bmctl update credentials, consulta aggiorna credenziali nel riferimento al comando bmctl.