Per ruotare le chiavi degli account di servizio in Google Distributed Cloud, aggiorna il
le credenziali del cluster esistenti con il comando bmctl. Questa rotazione delle chiavi dell'account di servizio potrebbe essere parte delle normali procedure di aggiornamento delle credenziali o in risposta a una potenziale esposizione delle chiavi. Quando aggiorni le credenziali del cluster, le nuove informazioni vengono passate ai cluster di amministrazione o ibrida o inoltrate automaticamente ai cluster utente interessati gestiti da un cluster di amministrazione.
Credenziali del cluster che possono essere aggiornate
I cluster Google Distributed Cloud richiedono più credenziali quando vengono creati. Puoi impostare le credenziali nella configurazione del cluster quando crei un amministratore, in un cluster autonomo o ibrido. I cluster utente, come indicato in precedenza, vengono gestiti da un cluster di amministrazione (o un cluster ibrido che agisce come amministratore) e riutilizzerà le stesse credenziali del cluster di amministrazione.
Per ulteriori informazioni sulla creazione di cluster e sui diversi tipi di cluster, consulta la sezione Panoramica dell'installazione: scelta di un modello di deployment.
Puoi aggiornare le credenziali seguenti e i secret corrispondenti,
nei cluster Google Distributed Cloud con il comando bmctl:
- Chiave privata SSH: utilizzata per l'accesso al nodo.
- Chiave Container Registry (
anthos-baremetal-gcr): chiave dell'account di servizio utilizzata per l'autenticazione in Container Registry per il pull delle immagini. - Connetti la chiave dell'account di servizio dell'agente
(
anthos-baremetal-connect): chiave dell'account di servizio utilizzata da Connetti i pod degli agenti. - Connetti la chiave dell'account di servizio del registry
(
anthos-baremetal-register): chiave dell'account di servizio utilizzata per l'autenticazione con Hub quando si registra o annulla la registrazione di un cluster. - Chiave dell'account di servizio Operations Cloud (
anthos-baremetal-cloud-ops): chiave dell'account di servizio per l'autenticazione con le API di Google Cloud Observability (registrazione e monitoraggio).
Aggiorna le credenziali con bmctl
Quando crei i cluster, Google Distributed Cloud crea i secret di Kubernetes in base alle tue chiavi delle credenziali. Se generi nuove chiavi, devi aggiornare il valore i Secret corrispondenti, come descritto nei passaggi successivi. Se il nome o il percorso alla modifica delle chiavi, devi anche aggiornare il cluster corrispondente di configurazione del deployment.
Prepara i nuovi valori per le credenziali che vuoi aggiornare:
Puoi generare nuove chiavi degli account di servizio Google tramite Google Cloud CLI o la console Google Cloud.
Genera una nuova chiave privata SSH sulla workstation di amministrazione e assicurati che le macchine dei nodi del cluster abbiano la chiave pubblica corrispondente.
Aggiorna la sezione delle credenziali del file di configurazione del cluster con i percorsi alle nuove chiavi.
Aggiorna i secret del cluster corrispondenti con
bmctl update credentialsaggiungendo i flag appropriati.Il seguente esempio aggiorna le credenziali di una nuova chiave privata SSH:
bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \ --cluster CLUSTER_NAME \ --ssh-private-key-path SSH_KEY_PATHSostituisci quanto segue:
ADMIN_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazione o autogestito.CLUSTER_NAME: il nome del cluster per cui stai aggiornando la chiave SSH.SSH_KEY_PATH: il percorso del file della chiave SSH. Per impostazione predefinita,bmctlcontrolla i file delle chiavi SSH e dell'account di servizio specificati nel file di configurazione del cluster. Sebmctltrova un file della chiave scaduto, il comando non va a buon fine. Se il nuovo file della chiave valido si trova in una posizione diversa da quella specificata nel file di configurazione, includi il flag--ignore-validation-errorsper evitare questo errore.
Per un elenco completo dei flag che puoi utilizzare con il comando
bmctl update credentials, consulta aggiorna credenziali nel riferimento al comandobmctl.