Questo documento mostra come configurare le credenziali preparate per un cluster amministrativo in Google Distributed Cloud.
Con le credenziali preparate, puoi archiviare le credenziali per il cluster di amministrazione in un Secret nel tuo cluster di amministrazione. Questo fornisce un elemento di sicurezza, non è necessario mantenere le password e le chiavi degli account di servizio nell'amministratore la workstation.
Panoramica della procedura
Compila un file di configurazione dei secret.
Nel file di configurazione del cluster di amministrazione, imposta enabled su true.
Esegui
gkectl prepare
Crea il cluster di amministrazione.
Compila il file di configurazione dei secret
Genera un modello per un file di configurazione Secrets:
gkectl create-config secrets
Il comando precedente genera un file denominato secrets.yaml
. Se vuoi, puoi modificare il nome e la posizione di questo file.
Acquisisci familiarità con il file di configurazione leggendo il documento File di configurazione dei segreti. Ti consigliamo di tenere aperto questo documento in una scheda o una finestra distinta.
Ecco un esempio di file di configurazione di Secret. L'unico secret gruppo contiene valori per le credenziali vCenter e quattro chiavi dell'account di servizio:
apiVersion: v1 kind: ClusterSecrets secretGroups: - secrets vCenter: username: "my-vcenter-account" password: "U$icUKEW#INE" componentAccessServiceAccount: serviceAccountKeyPath: "my-key-folder/component-access-key.json" registerServiceAccount: serviceAccountKeyPath: "my-key-folder/connect-register-key.json" stackdriverServiceAccount: serviceAccountKeyPath: "my-key-folder/log-mon-key.json" cloudAuditLoggingServiceAccount: serviceAccountKeyPath: "my-key-folder/audit-log-key.json"
File di configurazione del cluster di amministrazione
Crea un file di configurazione del cluster di amministrazione come descritto in Creare un cluster di amministrazione.
Nel file di configurazione del cluster di amministrazione, imposta
preparedSecrets.enabled
su true
:
preparedsecrets: enabled: true
Nel file di configurazione del cluster di amministrazione, non specificare valori per campi seguenti. Questi campi non sono necessari perché Google Distributed Cloud otterrà le credenziali e le chiavi dai tuoi Secret preparati.
vCenter.credentials.fileRef.path
componentAccessServiceAccountKeyPath
loadBalancer.f5BigIP.credentials.fileRef.path
gkeConnect.registerServiceAccountKeyPath
stackdriver.serviceAccountKeyPath
cloudAuditLogging.serviceAccountKeyPath
privateRegistry.credentials.fileRef.path
inizializza l'ambiente
Importa le immagini del sistema operativo in vSphere ed esegui il push delle immagini dei contenitori in un registry privato, se ne è stato specificato uno.
gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Sostituisci quanto segue:
ADMIN_CLUSTER_CONFIG: il percorso del file di configurazione del cluster di amministrazione
SECRETS_CONFIG: il percorso del file di configurazione dei secret
Crea il cluster di amministrazione
Crea il cluster di amministrazione:
gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG
Sostituisci quanto segue:
ADMIN_CLUSTER_CONFIG: il percorso del file di configurazione del cluster di amministrazione
SECRETS_CONFIG: il percorso del file di configurazione di Secrets
Ruota le credenziali
Per ruotare le credenziali, è necessario un file di configurazione dei secret. Esistono due metodi che puoi adottare:
Esegui
gkectl create-config secrets
per generare un nuovo secret di configurazione del deployment. Compila il file con le nuove chiavi dell'account di servizio.Genera un file di configurazione di Secrets dal cluster di amministrazione. Quindi sostituisci le chiavi degli account di servizio selezionate con nuove chiavi.
Per generare un file di configurazione dei secret dal cluster di amministrazione:
gkectl get-config admin --export-secrets-config \ --bundle-path BUNDLE \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Sostituisci quanto segue:
BUNDLE: il percorso del file del bundle Google Distributed Cloud
ADMIN_CLUSTER_KUBECONFIG: il percorso del cluster di amministrazione File kubeconfig
Ruota le credenziali:
gkectl update credentials CREDENTIAL_TYPE \ --config ADMIN_CLUSTER_CONFIG \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --secret-config SECRETS_CONFIG \ --admin-cluster
Sostituisci quanto segue:
CREDENTIAL_TYPE: uno dei seguenti: vSphere, f5bigip, registro privato, componenteaccess, registry, stackdriver, cloudauditlogging.
ADMIN_CLUSTER_CONFIG: il percorso della configurazione del cluster di amministrazione file
ADMIN_CLUSTER_KUBECONFIG: il percorso di kubeconfig del cluster di amministrazione file
SECRETS_CONFIG: il percorso del file di configurazione dei secret
Aggiorna
Per aggiornare un cluster di amministrazione che utilizza credenziali preparate, puoi, in molte di questi casi, seguire le istruzioni come scritto Aggiornamento di un cluster.
Tuttavia, se vuoi attivare Cloud Logging e Cloud Monitoring o Audit log di Cloud nell'ambito dell'aggiornamento, segui questi passaggi:
Genera un file di configurazione dei secret.
Nel file di configurazione dei secret, fornisci i valori per
stackdriverServiceAccount.serviceAccountKeyPath
ecloudAuditLoggingServiceAccount.serviceAccountKeyPath
o per entrambi.Aggiorna il cluster:
gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config ADMIN_CLUSTER_CONFIG \ --secret-config SECRETS_CONFIG
Documenti correlati
- File di configurazione dei secret
- File di configurazione del cluster di amministrazione
- Crea un cluster di amministrazione
- Creare account di servizio
- Credenziali preparate per un cluster di utenti