Anthos clusters on bare metal è ora Google Distributed Cloud (solo software) per bare metal. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare e utilizzare la modalità senza chiave del cluster

Questo documento descrive come configurare e utilizzare la modalità senza chiave del cluster per Google Distributed Cloud (solo software) su bare metal. Invece di chiavi degli account di servizio, la modalità senza chiave usa token di breve durata Federazione delle identità per i carichi di lavoro per creare e proteggere i tuoi cluster. Il breve periodo le credenziali per l'account di servizio sono sotto forma di token di accesso OAuth 2.0. Per impostazione predefinita, i token di accesso scadono dopo 1 ora, ad eccezione dei token di estrazione delle immagini, che scadono dopo 12 ore.

La modalità senza chiave è disponibile solo per i cluster versione 1.30 e successive.

Al contrario, la modalità con chiave, il metodo standard per creare e proteggere i cluster, utilizza le chiavi degli account di servizio scaricate. Quando crei un account utente (di amministrazione, ibrido o autonomo), devi specificare il percorso del file scaricato chiave. Le chiavi vengono quindi archiviate come secret nel cluster e in qualsiasi utente gestito cluster. Per impostazione predefinita, le chiavi degli account di servizio non scadono e rappresentano un rischio per la sicurezza se non vengono gestite correttamente.

La modalità senza chiave offre due vantaggi principali rispetto all'utilizzo delle chiavi dell'account di servizio:

Maggiore sicurezza: le chiavi degli account di servizio rappresentano un rischio per la sicurezza, se non lo sono. gestite correttamente. I token OAuth 2.0 e la federazione delle identità per i carichi di lavoro considerate alternative di best practice alle chiavi degli account di servizio. Per maggiori informazioni informazioni sui token degli account di servizio, consulta Account di servizio di breve durata credenziali. Per Per ulteriori informazioni sulla federazione delle identità per i carichi di lavoro, consulta Federazione delle identità per i carichi di lavoro.
Manutenzione ridotta: le chiavi degli account di servizio richiedono una manutenzione maggiore. La rotazione e la protezione regolari di queste chiavi possono rappresentare un onere amministrativo significativo.

Sebbene questa funzionalità sia in anteprima, sono stati riscontrati alcuni limiti.

Prima di iniziare

Nelle sezioni seguenti, creerai gli account di servizio e concederai i ruoli necessari per la modalità senza chiave. Le istruzioni di configurazione riportate in questo documento non sostituiscono quelle riportate in Configurare le risorse Google Cloud, ma sono necessarie oltre ai prerequisiti di installazione solo software di Google Distributed Cloud standard. Gli account di servizio richiesti per sono simili agli account di servizio descritti in configurare le risorse Google Cloud, hanno nomi univoci, in modo da non interferire con i cluster che utilizzano e gestire le chiavi account di servizioo.

Questa pagina è rivolta agli amministratori, agli architetti e agli operatori che configurano, monitorare e gestire il ciclo di vita dell'infrastruttura tecnica sottostante. A scopri di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento contenuti di Google Cloud, vedi Ruoli utente comuni di GKE Enterprise e per le attività di machine learning.

Nella tabella seguente sono descritti gli account di servizio necessari per la modalità senza chiave:

Service account	Finalità	Ruoli
`ADMIN_SA`	Puoi utilizzare questo account di servizio per generare token. Ogni token ha i privilegi associati ai ruoli dell'account di servizio.	`roles/gkehub.admin` `roles/logging.admin` `roles/monitoring.admin` `roles/monitoring.dashboardEditor` `roles/iam.serviceAccountAdmin` `roles/iam.serviceAccountTokenCreator`
`baremetal-controller`	Connect Agent utilizza questo account di servizio per mantenere una connessione tra il cluster e Google Cloud e per registrare i cluster in un parco. Questo account di servizio aggiorna anche i token per `baremetal-gcr` l'account di servizio.	`roles/gkehub.admin` `roles/monitoring.dashboardEditor` `roles/serviceusage.serviceUsageViewer`
`baremetal-cloud-ops`	L'agente Stackdriver utilizza questo account di servizio per esportare log e metriche dai cluster a Cloud Logging e Cloud Monitoring. Non puoi disabilitare Cloud Logging e Cloud Monitoring per i tuoi cluster. Questo account di servizio e tutti i ruoli elencati per questo account di servizio sono obbligatori.	`roles/logging.logWriter` `roles/monitoring.metricWriter` `roles/stackdriver.resourceMetadata.writer` `roles/opsconfigmonitoring.resourceMetadata.writer` `roles/monitoring.dashboardEditor` `roles/monitoring.viewer` `roles/serviceusage.serviceUsageViewer` `roles/kubernetesmetadata.publisher`
`baremetal-gcr`	Google Distributed Cloud utilizza questo account di servizio per scaricare il container da Container Registry.	Nessuno

Crea e configura gli account di servizio per la modalità senza chiave

Le sezioni seguenti contengono istruzioni per creare gli account di servizio richiesti e concedervi i ruoli necessari per la modalità senza chiave. Per un elenco dei account di servizio e i ruoli richiesti, consulta la tabella nella .

Creazione di account di servizio

Per creare gli account di servizio per la modalità senza chiave, svolgi i seguenti passaggi:

Sulla workstation di amministrazione, accedi a Google Cloud CLI:
```
gcloud auth login
```
Se vuoi, crea l'account di servizio amministrativo:

Il nome dell'account di servizio ADMIN_SA è arbitrario. Puoi anche utilizzare un account di servizio esistente, se dispone dei ruoli identificati nella tabella della sezione precedente, ma questa opzione non è consigliata perché viola il principio del privilegio minimo.
```
gcloud iam service-accounts create ADMIN_SA \
    --project=PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Crea gli account di servizio standard per la funzionalità senza chiave:

Gli account di servizio standard per la funzione senza chiave hanno nomi che possono essere personalizzati, se vuoi.

gcloud iam service-accounts create baremetal-controller \
    --project=PROJECT_ID

gcloud iam service-accounts create baremetal-cloud-ops \
    --project=PROJECT_ID

gcloud iam service-accounts create baremetal-gcr \
    --project=PROJECT_ID

Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Aggiungere associazioni di criteri di Identity and Access Management per gli account di servizio

Aggiungi associazioni di criteri IAM per i ruoli richiesti per ADMIN_SA account di servizio:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/gkehub.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/logging.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/monitoring.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/monitoring.dashboardEditor

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountAdmin

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator

Aggiungi associazioni dei criteri IAM per i ruoli richiesti per l'account di servizio baremetal-controller:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/gkehub.admin

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/monitoring.dashboardEditor

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/serviceusage.serviceUsageViewer

Aggiungi associazioni dei criteri IAM per i ruoli richiesti per l'account di servizio baremetal-cloud-ops:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/logging.logWriter

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/monitoring.dashboardEditor

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/monitoring.metricWriter

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/opsconfigmonitoring.resourceMetadata.writer

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/stackdriver.resourceMetadata.writer

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/monitoring.viewer

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/serviceusage.serviceUsageViewer

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/kubernetesmetadata.publisher

Concedi all'account di servizio baremetal-controller la possibilità di generare di accesso ai token per conto dell'account di servizio baremetal-gcr:

gcloud iam service-accounts add-iam-policy-binding \
    baremetal-gcr@PROJECT_ID.iam.gserviceaccount.com \
    --member=serviceAccount:baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
    --role=roles/iam.serviceAccountTokenCreator

Configurare la federazione delle identità per i carichi di lavoro per i tuoi cluster

Per consentire a Google Cloud di accedere con la federazione delle identità per i carichi di lavoro per GKE, devi creare un Criterio di autorizzazione IAM che concede l'accesso a una specifica risorsa Google Cloud a un'entità corrispondente l'identità dell'applicazione. In questo caso, la federazione delle identità per i carichi di lavoro concede a operatori specifici nel cluster. Per ulteriori informazioni Federazione delle identità per i carichi di lavoro per GKE, consulta Federazione delle identità per i carichi di lavoro nel documentazione di IAM.

Aggiungi associazioni di criteri IAM per l'operatore del cluster

I seguenti comandi concedono all'account di servizio Kubernetes anthos-cluster-operator la possibilità di rubare l'identità dell'account di servizio baremetal-controller e di interagire con le risorse Google Cloud per conto del cluster:

Per ogni cluster senza chiave (o cluster senza chiave pianificato), incluso il cluster di bootstrap, concedi a anthos-cluster-operator nel cluster la possibilità di rubare l'identità dell'account di servizio baremetal-controller:

Nel comando seguente, principalSet è costituito dal carico di lavoro un pool di identità e un account di servizio Kubernetes, anthos-cluster-operator, nello spazio dei nomi kube-system.
```
gcloud iam service-accounts add-iam-policy-binding \
    baremetal-controller@PROJECT_ID.iam.gserviceaccount.com \
    --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/anthos-cluster-operator \
    --role=roles/iam.workloadIdentityUser \
    --project=PROJECT_ID
```
Sostituisci quanto segue:
- PROJECT_NUM: l'elemento univoco generato automaticamente per il progetto.
- REGION: la località dell'abbonamento al parco risorse per il tuo che è global, per impostazione predefinita. Per ulteriori informazioni, consulta Località dell'appartenenza al parco veicoli.
- CLUSTER_NAME: il nome del cluster. Di Per impostazione predefinita, il nome del cluster di bootstrap è bmctl-MACHINE_NAME.

Verifica le associazioni di criteri per l'account di servizio baremetal-controller:

gcloud iam service-accounts get-iam-policy \
    baremetal-controller@PROJECT_ID.iam.gserviceaccount.com

La risposta dovrebbe essere simile alla seguente:

bindings:
- members:
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/anthos-cluster-operator
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/anthos-cluster-operator
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/anthos-cluster-operator
  role: roles/iam.workloadIdentityUser
etag: BwYoN3QLig0=
version: 1

Aggiungi associazioni di criteri IAM per gli operatori di Google Cloud Observability

I comandi seguenti concedono il seguente servizio Kubernetes di Google Cloud Observability consente di impersonare l'account di servizio baremetal-cloud-ops e interagire con le risorse Google Cloud per conto del cluster:

cloud-audit-logging
gke-metrics-agent
kubestore-collector
metadata-agent
stackdriver-log-forwarder

Per ogni cluster senza chiave (o cluster senza chiave pianificato), incluso il cluster cluster di bootstrap, concedi agli operatori di Google Cloud Observability nel cluster la possibilità di impersonare l'account di servizio baremetal-cloud-ops:

In ciascuno dei seguenti comandi, principalSet è costituito dai un pool di identità per i carichi di lavoro e un account di servizio Kubernetes, cloud-audit-logging, nello spazio dei nomi kube-system.

gcloud iam service-accounts add-iam-policy-binding \
    baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/cloud-audit-logging \
    --role=roles/iam.workloadIdentityUser \
    --project=PROJECT_ID

gcloud iam service-accounts add-iam-policy-binding \
    baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/gke-metrics-agent \
    --role=roles/iam.workloadIdentityUser \
    --project=PROJECT_ID

gcloud iam service-accounts add-iam-policy-binding \
    baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/kubestore-collector \
    --role=roles/iam.workloadIdentityUser \
    --project=PROJECT_ID

gcloud iam service-accounts add-iam-policy-binding \
    baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/metadata-agent \
    --role=roles/iam.workloadIdentityUser \
    --project=PROJECT_ID

gcloud iam service-accounts add-iam-policy-binding \
    baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com \
    --member=principalSet://iam.googleapis.com/projects/PROJECT_NUM/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/attribute.fleetclusteridentity/projects/PROJECT_ID/locations/REGION/memberships/CLUSTER_NAME/ns/kube-system/sa/stackdriver-log-forwarder \
    --role=roles/iam.workloadIdentityUser \
    --project=PROJECT_ID

Verifica le associazioni dei criteri per l'account di servizio baremetal-cloud-ops:

gcloud iam service-accounts get-iam-policy \
    baremetal-cloud-ops@PROJECT_ID.iam.gserviceaccount.com

La risposta dovrebbe essere simile alla seguente:

bindings:
- members:
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/cloud-audit-logging
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/gke-metrics-agent
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/kubestore-collector
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/metadata-agent
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/bmctl-admin-ws/kube-system/stackdriver-log-forwarder
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/cloud-audit-logging
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/gke-metrics-agent
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/kubestore-collector
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/metadata-agent
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/admin-cluster/kube-system/stackdriver-log-forwarder
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/cloud-audit-logging
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/gke-metrics-agent
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/kubestore-collector
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/metadata-agent
  - principalSet://iam.googleapis.com/projects/112233445566/locations/global/workloadIdentityPools/my-project.svc.id.goog/attribute.fleetclusteridentity/user-cluster/kube-system/stackdriver-log-forwarder
  role: roles/iam.workloadIdentityUser
etag: BwYhT4gL-dY=
version: 1

Configurazione cluster

La differenza più ovvia nella configurazione dei cluster per i cluster che utilizzano senza chiave è che non occorre specificare i percorsi delle chiavi degli account di servizio scaricate.

Quando compili le impostazioni del cluster nel file di configurazione, lascia vuoti i percorsi delle chiavi dell'account di servizio nella sezione delle credenziali, come mostrato nell'esempio seguente:

gcrKeyPath:
sshPrivateKeyPath: /home/USERNAME/.ssh/id_rsa
gkeConnectAgentServiceAccountKeyPath:
gkeConnectRegisterServiceAccountKeyPath:
cloudOperationsServiceAccountKeyPath:
---
apiVersion: v1
kind: Namespace
metadata:
  name: cluster-CLUSTER_NAME
---
apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: CLUSTER_NAME
  namespace: cluster-CLUSTER_NAME
spec:
  type: admin
  profile: default
  anthosBareMetalVersion: 1.30.0-gke.1930
  ...

Se vuoi, imposta nomi personalizzati per gli account di servizio in modalità senza chiave:

La specifica di nomi personalizzati ti consente di utilizzare gli account di servizio esistenti. Se specifichi lo stesso nome personalizzato per più di un account di servizio, puoi consolidare in meno account di servizio.

apiVersion: baremetal.cluster.gke.io/v1
kind: Cluster
metadata:
  name: CLUSTER_NAME
  namespace: cluster-CLUSTER_NAME
  annotations:
    baremetal.cluster.gke.io/controller-service-account: "CUSTOM_CONTROLLER_GSA"
    baremetal.cluster.gke.io/cloud-ops-service-account: "CUSTOM_CLOUD_OPS_GSA"
    baremetal.cluster.gke.io/gcr-service-account: "CUSTOM_GCR_GSA"
spec:
  type: admin
  profile: default
  anthosBareMetalVersion: 1.30.0-gke.1930
    ...

Funzionamento dei cluster

Quando vuoi creare, eseguire l'upgrade o eliminare un cluster in modalità senza chiave, utilizza seguenti passaggi:

Accedi a Google Cloud CLI:
```
gcloud auth login
```
Sulla workstation di amministrazione, crea e scarica una chiave per l'account di servizio ADMIN_SA:

Nota: questa chiave è necessaria per autorizzare l'accesso per il ADMIN_SA, che verrà eliminato dopo il sia autorizzato.
```
gcloud iam service-accounts keys create TMP_KEY_FILE_PATH \
    --iam-account=ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com
```
Sostituisci TMP_KEY_FILE_PATH con il percorso, incluso il nome file, del file della chiave scaricato.

Autorizza l'accesso a Google Cloud con ADMIN_SA account di servizio:

gcloud auth activate-service-account ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com \
    --key-file=TMP_KEY_FILE_PATH

Elimina il file di chiave JSON scaricato:
```
rm TMP_KEY_FILE_PATH
```
Sulla workstation di amministrazione, crea una variabile di ambiente GCP_ACCESS_TOKEN con il valore di un token di accesso creato Account di servizio ADMIN_SA:
```
export GCP_ACCESS_TOKEN=$(gcloud auth print-access-token \
    --impersonate-service-account=ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com)
```
Per impostazione predefinita, il token di accesso ha una durata di 1 ora.
Verifica che il token sia generato dall'account di servizio ADMIN_SA con la scadenza corretta:
```
curl "https://oauth2.googleapis.com/tokeninfo?access_token=$GCP_ACCESS_TOKEN"
```
La risposta deve includere righe simili alle seguenti:
```
...
"expires_in": "3582",
"email": "ADMIN_SA@PROJECT_ID.iam.gserviceaccount.com)",
...
```
Il valore della scadenza è espresso in secondi e deve essere inferiore a 3600, che indica che il token scade in meno di un'ora.
Esegui un comando bmctl per creare, eseguire l'upgrade o eliminare un cluster in modalità senza chiave:

Se bmctl rileva che la variabile di ambiente GCP_ACCESS_TOKEN è stata impostata, esegue la convalida del token. Se il token è valido, viene utilizzato da bmctl per le operazioni dei cluster in modalità senza chiave.

Per i cluster che utilizzano la modalità senza chiave, i seguenti comandi richiedono che GCP_ACCESS_TOKEN variabile di ambiente impostata su un accesso valido e attivo token:
- bmctl create cluster -c CLUSTER_NAME
- bmctl reset cluster -c CLUSTER_NAME
- bmctl upgrade cluster -c CLUSTER_NAME

Limitazioni

Mentre la modalità senza chiave è in anteprima, le seguenti funzionalità non sono supportate per l'utilizzo con i cluster in esecuzione in modalità senza chiave:

Utilizzo di un server proxy
Controlli di servizio VPC