Vorbereitete Anmeldedaten für einen Administratorcluster konfigurieren

In diesem Dokument wird gezeigt, wie vorbereitete Anmeldedaten für einen Administratorcluster in Google Distributed Cloud konfiguriert werden.

Mit vorbereiteten Anmeldedaten können Sie Anmeldedaten für Ihren Administratorcluster in einem Secret in Ihrem Administratorcluster speichern. Dies erhöht die Sicherheit, da Sie keine Passwörter und Dienstkontoschlüssel auf Ihrer Administrator-Workstation aufbewahren müssen.

Übersicht über das Verfahren

  1. Füllen Sie eine Secret-Konfigurationsdatei aus.

  2. Legen Sie in der Konfigurationsdatei des Administratorclusters "true" fest.

  3. Führen Sie gkectl prepare aus

  4. Erstellen Sie den Administratorcluster.

Secret-Konfigurationsdatei ausfüllen

Vorlage für eine Secrets-Konfigurationsdatei erstellen:

gkectl create-config secrets

Der vorherige Befehl generiert eine Datei mit dem Namen secrets.yaml. Sie können den Namen und den Speicherort dieser Datei bei Bedarf ändern.

Machen Sie sich mit der Konfigurationsdatei vertraut, indem Sie das Dokument Konfigurationsdatei für Secrets lesen. Möglicherweise möchten Sie dieses Dokument in einem separaten Tab oder Fenster geöffnet lassen.

Hier ist ein Beispiel für eine Secret-Konfigurationsdatei. Die eine Geheimnisgruppe hat Werte für vCenter-Anmeldedaten und vier Dienstkontoschlüssel:

apiVersion: v1
kind: ClusterSecrets
secretGroups:
- secrets
  vCenter:
    username: "my-vcenter-account"
      password: "U$icUKEW#INE"
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-key-folder/component-access-key.json"
    registerServiceAccount:
      serviceAccountKeyPath: "my-key-folder/connect-register-key.json"
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

Konfigurationsdatei für den Admincluster

Erstellen Sie eine Konfigurationsdatei für den Administratorcluster, wie unter Administratorcluster erstellen beschrieben.

Legen Sie in der Administrator-Clusterkonfigurationsdatei preparedSecrets.enabled auf true fest:

preparedsecrets:
  enabled: true

Geben Sie in der Konfigurationsdatei des Adminclusters keine Werte für die folgenden Felder an. Diese Felder sind nicht erforderlich, da Google Distributed Cloud Anmeldedaten und Schlüssel aus Ihren vorbereiteten Secrets abruft.

  • vCenter.credentials.fileRef.path
  • componentAccessServiceAccountKeyPath
  • loadBalancer.f5BigIP.credentials.fileRef.path
  • gkeConnect.registerServiceAccountKeyPath
  • stackdriver.serviceAccountKeyPath
  • cloudAuditLogging.serviceAccountKeyPath
  • privateRegistry.credentials.fileRef.path

Umgebung initialisieren

Importieren Sie Betriebssystem-Images in vSphere und übertragen Sie Container-Images per Push in eine private Registry, sofern eine angegeben wurde:

gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ersetzen Sie Folgendes:

  • ADMIN_CLUSTER_CONFIG: Pfad Ihrer Konfigurationsdatei für den Administratorcluster.

  • SECRETS_CONFIG: der Pfad Ihrer Secrets-Konfigurationsdatei

Erstellen Sie den Administratorcluster.

Erstellen Sie den Administratorcluster:

gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Ersetzen Sie Folgendes:

  • ADMIN_CLUSTER_CONFIG: Pfad Ihrer Konfigurationsdatei für den Administratorcluster.

  • SECRETS_CONFIG: der Pfad Ihrer Secrets-Konfigurationsdatei

Anmeldedaten rotieren

Zum Rotieren von Anmeldedaten benötigen Sie eine Secret-Konfigurationsdatei. Dafür gibt es zwei Ansätze:

  • Führen Sie gkectl create-config secrets aus, um eine neue Secrets-Konfigurationsdatei zu generieren. Geben Sie die neuen Dienstkontoschlüssel in die Datei ein.

  • Generieren Sie eine Secrets-Konfigurationsdatei aus dem Administratorcluster. Ersetzen Sie dann ausgewählte Dienstkontoschlüssel durch neue.

    So generieren Sie eine Secret-Konfigurationsdatei aus dem Administratorcluster:

    gkectl get-config admin --export-secrets-config \
      --bundle-path BUNDLE \
      --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    Ersetzen Sie Folgendes:

    • BUNDLE: der Pfad der Google Distributed Cloud-Bundle-Datei

    • ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters

Rotieren Sie die Anmeldedaten:

gkectl update credentials CREDENTIAL_TYPE \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --secret-config SECRETS_CONFIG \
    --admin-cluster

Ersetzen Sie Folgendes:

  • CREDENTIAL_TYPE: Eine der folgenden Optionen: vsphere, f5bigip, privateregistry, componentaccess, register, stackdriver, cloudauditlogging.

  • ADMIN_CLUSTER_CONFIG: der Pfad Ihrer Administratorcluster-Konfigurationsdatei.

  • ADMIN_CLUSTER_KUBECONFIG: der Pfad der kubeconfig-Datei des Administratorclusters

  • SECRETS_CONFIG: der Pfad der Secrets-Konfigurationsdatei

Aktualisieren

Um einen Administratorcluster zu aktualisieren, der vorbereitete Anmeldedaten verwendet, können Sie in vielen Fällen die Anleitungen im Abschnitt Cluster aktualisieren befolgen.

Wenn Sie jedoch Cloud Logging und Cloud Monitoring oder Cloud-Audit-Logs im Rahmen der Aktualisierung aktivieren möchten, gehen Sie so vor:

  1. Generieren Sie eine Konfigurationsdatei für Secrets.

  2. Geben Sie in der Secrets-Konfigurationsdatei Werte für stackdriverServiceAccount.serviceAccountKeyPath und cloudAuditLoggingServiceAccount.serviceAccountKeyPath oder beides an.

  3. Aktualisieren Sie den Cluster:

    gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --config ADMIN_CLUSTER_CONFIG \
      --secret-config SECRETS_CONFIG