Mengonfigurasi kredensial yang disiapkan untuk cluster admin

Dokumen ini menunjukkan cara mengonfigurasi kredensial yang disiapkan untuk cluster admin di Google Distributed Cloud.

Dengan kredensial yang disiapkan, Anda dapat menyimpan kredensial untuk cluster admin di Rahasia di cluster admin Anda. Hal ini memberikan elemen keamanan, karena Anda tidak perlu menyimpan sandi dan kunci akun layanan di admin Anda Infrastruktur Cloud.

Ringkasan prosedur

  1. Isi file konfigurasi Secrets.

  2. Di file konfigurasi cluster admin Anda, setel diaktifkan ke benar (true).

  3. Jalankan gkectl prepare

  4. Membuat cluster admin.

Isi file konfigurasi secret Anda

Buat template untuk file konfigurasi Secrets:

gkectl create-config secrets

Perintah sebelumnya menghasilkan file bernama secrets.yaml. Anda dapat mengubah nama dan lokasi file ini jika Anda mau.

Pelajari file konfigurasi dengan membaca File konfigurasi secret dokumen. Anda mungkin ingin tetap membuka dokumen ini pada tab terpisah atau jendela.

Berikut adalah contoh file konfigurasi Secrets. Satu Rahasia memiliki nilai untuk kredensial vCenter dan empat kunci akun layanan:

apiVersion: v1
kind: ClusterSecrets
secretGroups:
- secrets
  vCenter:
    username: "my-vcenter-account"
      password: "U$icUKEW#INE"
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-key-folder/component-access-key.json"
    registerServiceAccount:
      serviceAccountKeyPath: "my-key-folder/connect-register-key.json"
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

File konfigurasi cluster admin

Buat file konfigurasi cluster admin seperti yang dijelaskan di Buat cluster admin.

Di file konfigurasi cluster admin Anda, setel preparedSecrets.enabled ke true:

preparedsecrets:
  enabled: true

Di file konfigurasi cluster admin Anda, jangan tetapkan nilai untuk kolom berikut. Kolom ini tidak diperlukan karena Google Distributed Cloud akan mendapatkan kredensial dan kunci dari Secret yang telah Anda siapkan.

  • vCenter.credentials.fileRef.path
  • componentAccessServiceAccountKeyPath
  • loadBalancer.f5BigIP.credentials.fileRef.path
  • gkeConnect.registerServiceAccountKeyPath
  • stackdriver.serviceAccountKeyPath
  • cloudAuditLogging.serviceAccountKeyPath
  • privateRegistry.credentials.fileRef.path

Menginisialisasi lingkungan

Impor OS image ke vSphere, dan kirim image container ke registry pribadi jika sudah ditentukan.

gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ganti kode berikut:

  • ADMIN_CLUSTER_CONFIG: jalur konfigurasi cluster admin Anda file

  • SECRETS_CONFIG: jalur file konfigurasi Secret Anda

Membuat cluster admin

Buat cluster admin:

gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ganti kode berikut:

  • ADMIN_CLUSTER_CONFIG: jalur konfigurasi cluster admin Anda file

  • SECRETS_CONFIG: jalur file konfigurasi Secret Anda

Merotasi kredensial

Untuk merotasi kredensial, Anda memerlukan file konfigurasi Secrets. Ada dua pendekatan yang dapat Anda lakukan:

  • Jalankan gkectl create-config secrets untuk membuat Secret baru file konfigurasi Anda. Isi file dengan kunci akun layanan yang baru.

  • Membuat file konfigurasi Secrets dari cluster admin. Kemudian ganti kunci akun layanan yang dipilih dengan kunci baru.

    Untuk membuat file konfigurasi Secrets dari cluster admin:

    gkectl get-config admin --export-secrets-config \
  --bundle-path BUNDLE \
  --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Ganti kode berikut:

    • BUNDLE: jalur file paket Google Distributed Cloud

    • ADMIN_CLUSTER_KUBECONFIG: jalur cluster admin file kubeconfig

Merotasi kredensial:

gkectl update credentials CREDENTIAL_TYPE \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --secret-config SECRETS_CONFIG \
    --admin-cluster

Ganti kode berikut:

  • CREDENTIAL_TYPE: Salah satu dari berikut ini: vsphere, f5bigip, privateregistry, componentaccess, register, stackdriver, cloudauditlogging.

  • ADMIN_CLUSTER_CONFIG: jalur konfigurasi cluster admin file

  • ADMIN_CLUSTER_KUBECONFIG: jalur kubeconfig cluster admin file

  • SECRETS_CONFIG: jalur file konfigurasi Secrets

Perbarui

Untuk memperbarui cluster admin yang menggunakan kredensial yang disiapkan, Anda dapat melakukannya, di banyak kasus, ikuti petunjuk sebagaimana tertulis dalam Memperbarui cluster.

Namun, jika ingin mengaktifkan Cloud Logging dan Cloud Monitoring atau Log Audit Cloud sebagai bagian dari pembaruan, ikuti langkah-langkah berikut:

  1. Buat file konfigurasi Secret.

  2. Di file konfigurasi Secret Anda, berikan nilai untuk stackdriverServiceAccount.serviceAccountKeyPath dan cloudAuditLoggingServiceAccount.serviceAccountKeyPath atau keduanya.

  3. Update cluster:

    gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --config ADMIN_CLUSTER_CONFIG \
  --secret-config SECRETS_CONFIG