Configurare e utilizzare la modalità senza chiave del cluster

Questo documento descrive come configurare e utilizzare la modalità senza chiave del cluster per Google Distributed Cloud (solo software) su bare metal. Invece di chiavi degli account di servizio, la modalità senza chiave usa token di breve durata Federazione delle identità per i carichi di lavoro per creare e proteggere i tuoi cluster. Il breve periodo le credenziali per l'account di servizio sono sotto forma di token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso scadono dopo 1 ora, ad eccezione dei token di estrazione delle immagini, che scadono dopo 12 ore.

La modalità senza chiave è disponibile solo per i cluster versione 1.30 e successive.

Al contrario, la modalità con chiave, il metodo standard per creare e proteggere i cluster, utilizza le chiavi degli account di servizio scaricate. Quando crei un account utente (di amministrazione, ibrido o autonomo), devi specificare il percorso del file scaricato chiave. Le chiavi vengono quindi archiviate come secret nel cluster e in qualsiasi utente gestito cluster. Per impostazione predefinita, le chiavi degli account di servizio non scadono e rappresentano un rischio per la sicurezza se non vengono gestite correttamente.

La modalità senza chiave offre due vantaggi principali rispetto all'utilizzo delle chiavi dell'account di servizio:

  • Maggiore sicurezza: le chiavi degli account di servizio rappresentano un rischio per la sicurezza, se non lo sono. gestite correttamente. I token OAuth 2.0 e la federazione delle identità per i carichi di lavoro considerate alternative di best practice alle chiavi degli account di servizio. Per maggiori informazioni informazioni sui token degli account di servizio, consulta Account di servizio di breve durata credenziali. Per Per ulteriori informazioni sulla federazione delle identità per i carichi di lavoro, consulta Federazione delle identità per i carichi di lavoro.

  • Manutenzione ridotta: le chiavi degli account di servizio richiedono una manutenzione maggiore. La rotazione e la protezione regolari di queste chiavi possono rappresentare un onere amministrativo significativo.

Sebbene questa funzionalità sia in anteprima, sono stati riscontrati alcuni limiti.

Prima di iniziare

Nelle sezioni seguenti, creerai gli account di servizio e concederai i ruoli necessari per la modalità senza chiave. Le istruzioni di configurazione riportate in questo documento non sostituiscono quelle riportate in Configurare le risorse Google Cloud, ma sono necessarie oltre ai prerequisiti di installazione solo software di Google Distributed Cloud standard. Gli account di servizio richiesti per sono simili agli account di servizio descritti in configurare le risorse Google Cloud, hanno nomi univoci, in modo da non interferire con i cluster che utilizzano e gestire le chiavi account di servizioo.

Questa pagina è rivolta agli amministratori, agli architetti e agli operatori che configurano, monitorare e gestire il ciclo di vita dell'infrastruttura tecnica sottostante. A scopri di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento contenuti di Google Cloud, vedi Ruoli utente comuni di GKE Enterprise e per le attività di machine learning.

Nella tabella seguente sono descritti gli account di servizio necessari per la modalità senza chiave:

Service account Finalità Ruoli
ADMIN_SA Puoi utilizzare questo account di servizio per generare token. Ogni token ha i privilegi associati ai ruoli dell'account di servizio. roles/gkehub.admin
roles/logging.admin
roles/monitoring.admin
roles/monitoring.dashboardEditor
roles/iam.serviceAccountAdmin
roles/iam.serviceAccountTokenCreator
baremetal-controller Connect Agent utilizza questo account di servizio per mantenere una connessione tra il cluster e Google Cloud e per registrare i cluster in un parco. Questo account di servizio aggiorna anche i token per baremetal-gcr l'account di servizio. roles/gkehub.admin
roles/monitoring.dashboardEditor
roles/serviceusage.serviceUsageViewer
baremetal-cloud-ops L'agente Stackdriver utilizza questo account di servizio per esportare log e metriche dai cluster a Cloud Logging e Cloud Monitoring. roles/logging.logWriter
roles/monitoring.metricWriter
roles/stackdriver.resourceMetadata.writer
roles/opsconfigmonitoring.resourceMetadata.writer
roles/monitoring.dashboardEditor
roles/monitoring.viewer
roles/serviceusage.serviceUsageViewer
roles/kubernetesmetadata.publisher
baremetal-gcr Google Distributed Cloud utilizza questo account di servizio per scaricare il container da Container Registry. Nessuno

Crea e configura gli account di servizio per la modalità senza chiave

Le sezioni seguenti contengono istruzioni per creare gli account di servizio richiesti e concedervi i ruoli necessari per la modalità senza chiave. Per un elenco dei account di servizio e i ruoli richiesti, consulta la tabella nella .

Creazione di account di servizio

Per creare gli account di servizio per la modalità senza chiave, svolgi i seguenti passaggi:

  1. Sulla workstation di amministrazione, accedi a Google Cloud CLI:

    gcloud auth login
    
  2. Se vuoi, crea l'account di servizio amministrativo:

    Il nome dell'account di servizio ADMIN_SA è arbitrario. Puoi anche utilizzare un account di servizio esistente, se dispone dei ruoli identificati nella tabella della sezione precedente, ma questa opzione non è consigliata perché viola il principio del privilegio minimo.

    gcloud iam service-accounts create ADMIN_SA \
        --project=PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

  3. Crea gli account di servizio standard per la funzionalità senza chiave:

    Gli account di servizio standard per la funzione senza chiave hanno nomi che possono essere personalizzati, se vuoi.

    gcloud iam service-accounts create baremetal-controller \
        --project=PROJECT_ID
    
    gcloud iam service-accounts create baremetal-cloud-ops \
        --project=PROJECT_ID
    
    gcloud iam service-accounts create baremetal-gcr \
        --project=PROJECT_ID
    

    Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Aggiungere associazioni di criteri di Identity and Access Management per gli account di servizio

  1. Aggiungi associazioni di criteri IAM per i ruoli richiesti per ADMIN_SA account di servizio:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/gkehub.admin
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/logging.admin
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/monitoring.admin
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/monitoring.dashboardEditor
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/iam.serviceAccountAdmin
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/iam.serviceAccountTokenCreator
    
  2. Aggiungi associazioni dei criteri IAM per i ruoli richiesti per l'account di servizio baremetal-controller:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/gkehub.admin
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/monitoring.dashboardEditor
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/serviceusage.serviceUsageViewer
    
  3. Aggiungi associazioni dei criteri IAM per i ruoli richiesti per l'account di servizio baremetal-cloud-ops:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/logging.logWriter
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/monitoring.dashboardEditor
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/monitoring.metricWriter
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/opsconfigmonitoring.resourceMetadata.writer
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/stackdriver.resourceMetadata.writer
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/monitoring.viewer
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/serviceusage.serviceUsageViewer
    
    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/kubernetesmetadata.publisher
    
  4. Concedi all'account di servizio baremetal-controller la possibilità di generare di accesso ai token per conto dell'account di servizio baremetal-gcr:

    gcloud iam service-accounts add-iam-policy-binding \
        baremetal-gcr@PROJECT_ID.iam.gserviceaccount.com \
        --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
        --role=roles/iam.serviceAccountTokenCreator
    

Configurare la federazione delle identità per i carichi di lavoro per i tuoi cluster

Per consentire a Google Cloud di accedere con la federazione delle identità per i carichi di lavoro per GKE, devi creare un Criterio di autorizzazione IAM che concede l'accesso a una specifica risorsa Google Cloud a un'entità corrispondente l'identità dell'applicazione. In questo caso, la federazione delle identità per i carichi di lavoro concede a operatori specifici nel cluster. Per ulteriori informazioni Federazione delle identità per i carichi di lavoro per GKE, consulta Federazione delle identità per i carichi di lavoro nel documentazione di IAM.

Aggiungi associazioni di criteri IAM per l'operatore del cluster

I seguenti comandi concedono all'account di servizio Kubernetes anthos-cluster-operator la possibilità di rubare l'identità dell'account di servizio baremetal-controller e di interagire con le risorse Google Cloud per conto del cluster:

  1. Per ogni cluster senza chiave (o cluster senza chiave pianificato), incluso il cluster di bootstrap, concedi a anthos-cluster-operator nel cluster la possibilità di rubare l'identità dell'account di servizio baremetal-controller:

    Nel comando seguente, principalSet è costituito dal carico di lavoro un pool di identità e un account di servizio Kubernetes, anthos-cluster-operator, nello spazio dei nomi kube-system.

    gcloud iam service-accounts add-iam-policy-binding \
        baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
        --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/anthos-cluster-operator \
        --role=roles/iam.workloadIdentityUser \
        --project=PROJECT_ID
    

    Sostituisci quanto segue:

  2. Verifica le associazioni di criteri per l'account di servizio baremetal-controller:

    gcloud iam service-accounts get-iam-policy \
        baremetal-controller@PROJECT_ID.iam.gserviceaccount.com
    

    La risposta dovrebbe essere simile alla seguente:

    bindings:
    - members:
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/anthos-cluster-operator
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/anthos-cluster-operator
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/anthos-cluster-operator
      role: roles/iam.workloadIdentityUser
    etag: BwYoN3QLig0=
    version: 1
    

Aggiungi associazioni di criteri IAM per gli operatori di Google Cloud Observability

I comandi seguenti concedono il seguente servizio Kubernetes di Google Cloud Observability consente di impersonare l'account di servizio baremetal-cloud-ops e interagire con le risorse Google Cloud per conto del cluster:

  • cloud-audit-logging
  • gke-metrics-agent
  • kubestore-collector
  • metadata-agent
  • stackdriver-log-forwarder
  1. Per ogni cluster senza chiave (o cluster senza chiave pianificato), incluso il cluster cluster di bootstrap, concedi agli operatori di Google Cloud Observability nel cluster la possibilità di impersonare l'account di servizio baremetal-cloud-ops:

    In ciascuno dei seguenti comandi, principalSet è costituito dai un pool di identità per i carichi di lavoro e un account di servizio Kubernetes, cloud-audit-logging, nello spazio dei nomi kube-system.

    gcloud iam service-accounts add-iam-policy-binding \
        baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/cloud-audit-logging \
        --role=roles/iam.workloadIdentityUser \
        --project=PROJECT_ID
    
    gcloud iam service-accounts add-iam-policy-binding \
        baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/gke-metrics-agent \
        --role=roles/iam.workloadIdentityUser \
        --project=PROJECT_ID
    
    gcloud iam service-accounts add-iam-policy-binding \
        baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/kubestore-collector \
        --role=roles/iam.workloadIdentityUser \
        --project=PROJECT_ID
    
    gcloud iam service-accounts add-iam-policy-binding \
        baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/metadata-agent \
        --role=roles/iam.workloadIdentityUser \
        --project=PROJECT_ID
    
    gcloud iam service-accounts add-iam-policy-binding \
        baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
        --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/stackdriver-log-forwarder \
        --role=roles/iam.workloadIdentityUser \
        --project=PROJECT_ID
    
  2. Verifica le associazioni dei criteri per l'account di servizio baremetal-cloud-ops:

    gcloud iam service-accounts get-iam-policy \
        baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com
    

    La risposta dovrebbe essere simile alla seguente:

    bindings:
    - members:
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/cloud-audit-logging
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/gke-metrics-agent
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/kubestore-collector
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/metadata-agent
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/stackdriver-log-forwarder
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/cloud-audit-logging
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/gke-metrics-agent
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/kubestore-collector
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/metadata-agent
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/stackdriver-log-forwarder
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/cloud-audit-logging
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/gke-metrics-agent
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/kubestore-collector
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/metadata-agent
      - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/stackdriver-log-forwarder
      role: roles/iam.workloadIdentityUser
    etag: BwYhT4gL-dY=
    version: 1
    

Configurazione cluster

La differenza più ovvia nella configurazione dei cluster per i cluster che utilizzano senza chiave è che non occorre specificare i percorsi delle chiavi degli account di servizio scaricate.

  1. Quando compili le impostazioni del cluster nel file di configurazione, lascia vuoti i percorsi delle chiavi dell'account di servizio nella sezione delle credenziali, come mostrato nell'esempio seguente:

    gcrKeyPath:
    sshPrivateKeyPath: /home/USERNAME/.ssh/id_rsa
    gkeConnectAgentServiceAccountKeyPath:
    gkeConnectRegisterServiceAccountKeyPath:
    cloudOperationsServiceAccountKeyPath:
    ---
    apiVersion: v1
    kind: Namespace
    metadata:
      name: cluster-CLUSTER_NAME
    ---
    apiVersion: baremetal.cluster.gke.io/v1
    kind: Cluster
    metadata:
      name: CLUSTER_NAME
      namespace: cluster-CLUSTER_NAME
    spec:
      type: admin
      profile: default
      anthosBareMetalVersion: 1.30.0-gke.1930
      ...
    
  2. Se vuoi, imposta nomi personalizzati per gli account di servizio in modalità senza chiave:

    La specifica di nomi personalizzati ti consente di utilizzare gli account di servizio esistenti. Se specifichi lo stesso nome personalizzato per più di un account di servizio, puoi consolidare in meno account di servizio.

    apiVersion: baremetal.cluster.gke.io/v1
    kind: Cluster
    metadata:
      name: CLUSTER_NAME
      namespace: cluster-CLUSTER_NAME
      annotations:
        baremetal.cluster.gke.io/controller-service-account: "CUSTOM_CONTROLLER_GSA"
        baremetal.cluster.gke.io/cloud-ops-service-account: "CUSTOM_CLOUD_OPS_GSA"
        baremetal.cluster.gke.io/gcr-service-account: "CUSTOM_GCR_GSA"
    spec:
      type: admin
      profile: default
      anthosBareMetalVersion: 1.30.0-gke.1930
        ...
    

Funzionamento dei cluster

Quando vuoi creare, eseguire l'upgrade o eliminare un cluster in modalità senza chiave, utilizza seguenti passaggi:

  1. Accedi a Google Cloud CLI:

    gcloud auth login
    
  2. Sulla workstation di amministrazione, crea e scarica una chiave per l'account di servizio ADMIN_SA:

    gcloud iam service-accounts keys create TMP_KEY_FILE_PATH \
        --iam-account=ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com
    

    Sostituisci TMP_KEY_FILE_PATH con il percorso, incluso il nome file, del file della chiave scaricato.

  3. Autorizza l'accesso a Google Cloud con ADMIN_SA account di servizio:

    gcloud auth activate-service-account ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
        --key-file=TMP_KEY_FILE_PATH
    
  4. Elimina il file di chiave JSON scaricato:

    rm TMP_KEY_FILE_PATH
    
  5. Sulla workstation di amministrazione, crea una variabile di ambiente GCP_ACCESS_TOKEN con il valore di un token di accesso creato Account di servizio ADMIN_SA:

    export GCP_ACCESS_TOKEN=$(gcloud auth print-access-token \
        --impersonate-service-account=ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com)
    

    Per impostazione predefinita, il token di accesso ha una durata di 1 ora.

  6. Verifica che il token sia generato dall'account di servizio ADMIN_SA con la scadenza corretta:

    curl "https://oauth2.googleapis.com/tokeninfo?access_token=$GCP_ACCESS_TOKEN"
    

    La risposta deve includere righe simili alle seguenti:

    ...
    "expires_in": "3582",
    "email": "ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com)",
    ...
    

    Il valore della scadenza è espresso in secondi e deve essere inferiore a 3600, che indica che il token scade in meno di un'ora.

  7. Esegui un comando bmctl per creare, eseguire l'upgrade o eliminare un cluster in modalità senza chiave:

    Se bmctl rileva che la variabile di ambiente GCP_ACCESS_TOKEN è stata impostata, esegue la convalida del token. Se il token è valido, viene utilizzato da bmctl per le operazioni dei cluster in modalità senza chiave.

    Per i cluster che utilizzano la modalità senza chiave, i seguenti comandi richiedono che GCP_ACCESS_TOKEN variabile di ambiente impostata su un accesso valido e attivo token:

    • bmctl create cluster -c CLUSTER_NAME
    • bmctl reset cluster -c CLUSTER_NAME
    • bmctl upgrade cluster -c CLUSTER_NAME

Limitazioni

Mentre la modalità senza chiave è in anteprima, le seguenti funzionalità non sono supportate per l'utilizzo con i cluster in esecuzione in modalità senza chiave:

  • Utilizzo di un server proxy
  • Controlli di servizio VPC

Passaggi successivi