Configura las credenciales preparadas para un clúster de administrador.

En este documento, se muestra cómo configurar credenciales preparadas para un clúster de administrador en GKE on VMware.

Con las credenciales preparadas, puedes almacenar las credenciales del clúster de administrador en un Secret en el clúster de administrador. Esto proporciona un elemento de seguridad, porque no debes mantener contraseñas ni claves de cuenta de servicio en la estación de trabajo de administrador.

Descripción general del procedimiento

1. Completa el archivo de configuración de Secrets.

2. En el archivo de configuración del clúster de administrador, establece la opción habilitada como verdadera.

3. Ejecución gkectl prepare

4. Crea el clúster de administrador.

Completa el archivo de configuración de Secrets

Genera una plantilla para un archivo de configuración de Secrets:

gkectl create-config secrets

El comando anterior genera un archivo llamado secrets.yaml. Si lo deseas, puedes cambiar el nombre y la ubicación de este archivo.

Para familiarizarte con el archivo de configuración, lee el documento Archivo de configuración de Secrets. Te recomendamos que mantengas este documento abierto en una pestaña o ventana separada.

Este es un ejemplo de un archivo de configuración de Secrets. El único grupo secreto tiene valores para las credenciales de vCenter y cuatro claves de cuenta de servicio:

apiVersion: v1
kind: ClusterSecrets
secretGroups:
- secrets
  vCenter:
    username: "my-vcenter-account"
      password: "U$icUKEW#INE"
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-key-folder/component-access-key.json"
    registerServiceAccount:
      serviceAccountKeyPath: "my-key-folder/connect-register-key.json"
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-key-folder/log-mon-key.json"
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-key-folder/audit-log-key.json"

Archivo de configuración del clúster de administrador

Crea un archivo de configuración de clúster de administrador como se describe en Crea un clúster de administrador.

En el archivo de configuración del clúster de administrador, establece preparedSecrets.enabled en true:

preparedsecrets:
  enabled: true

En el archivo de configuración del clúster de administrador, no especifiques valores para los siguientes campos. Estos campos no son necesarios, ya que GKE on VMware obtendrá credenciales y claves de los Secrets preparados.

• vCenter.credentials.fileRef.path
• componentAccessServiceAccountKeyPath
• loadBalancer.f5BigIP.credentials.fileRef.path
• gkeConnect.registerServiceAccountKeyPath
• stackdriver.serviceAccountKeyPath
• cloudAuditLogging.serviceAccountKeyPath
• privateRegistry.credentials.fileRef.path

Inicializa el entorno

Importa imágenes de SO a vSphere y envía imágenes de contenedor a un registro privado, si se especificó uno:

gkectl prepare --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Reemplaza lo siguiente:

• ADMIN_CLUSTER_CONFIG: la ruta de acceso al archivo de configuración del clúster de administrador

• SECRETS_CONFIG: Es la ruta de acceso del archivo de configuración de Secrets.

Crea el clúster de administrador

Crea el clúster de administrador:

gkectl create admin --config ADMIN_CLUSTER_CONFIG --secret-config SECRETS_CONFIG

Reemplaza lo siguiente:

• ADMIN_CLUSTER_CONFIG: la ruta de acceso al archivo de configuración del clúster de administrador

• SECRETS_CONFIG: Es la ruta de acceso del archivo de configuración de Secrets.

Rotar credenciales

Para rotar las credenciales, necesitas un archivo de configuración de Secrets. Puedes adoptar dos enfoques:

• Ejecuta gkectl create-config secrets para generar un nuevo archivo de configuración de secretos. Completa el archivo con claves de cuenta de servicio nuevas.

• Generar un archivo de configuración de Secrets desde el clúster de administrador Luego, reemplaza las claves de la cuenta de servicio seleccionadas por las nuevas.

  Sigue estos pasos para generar un archivo de configuración de Secrets desde el clúster de administrador:

  gkectl get-config admin --export-secrets-config \
    --bundle-path BUNDLE \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG
  

  Reemplaza lo siguiente:

  • BUNDLE: Es la ruta de acceso del archivo de paquete de GKE en VMware.

  • ADMIN_CLUSTER_KUBECONFIG: la ruta del archivo kubeconfig del clúster de administrador

Rota las credenciales:

gkectl update credentials CREDENTIAL_TYPE \
    --config ADMIN_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --secret-config SECRETS_CONFIG \
    --admin-cluster

Reemplaza lo siguiente:

• CREDENTIAL_TYPE: Es uno de los siguientes: vsphere, f5bigip, privateregistry, componenteaccess, register, stackdriver, cloudauditlogging.

• ADMIN_CLUSTER_CONFIG: la ruta de acceso del archivo de configuración de tu clúster de administrador

• ADMIN_CLUSTER_KUBECONFIG: la ruta del archivo kubeconfig del clúster de administrador

• SECRETS_CONFIG: Es la ruta de acceso del archivo de configuración de Secrets.

Actualizar

Para actualizar un clúster de administrador que usa credenciales preparadas, puedes, en muchos casos, seguir las instrucciones que se indican en Actualiza un clúster.

Sin embargo, si deseas habilitar Cloud Logging y Cloud Monitoring o los registros de auditoría de Cloud como parte de la actualización, sigue estos pasos:

1. Genera un archivo de configuración de Secrets.

2. En el archivo de configuración de secretos, proporciona valores para stackdriverServiceAccount.serviceAccountKeyPath y cloudAuditLoggingServiceAccount.serviceAccountKeyPath, o ambos.

3. Actualiza el clúster:

   gkectl update admin --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
     --config ADMIN_CLUSTER_CONFIG \
     --secret-config SECRETS_CONFIG
   

Documentos relacionados

• Archivo de configuración de Secrets
• Archivo de configuración del clúster de administrador
• Crear un clúster de administrador
• Crea cuentas de servicio
• Credenciales preparadas para un clúster de usuario