Los clústeres de Anthos en VMware ahora son Google Distributed Cloud (solo software) para VMware. Para obtener más información, consulta la descripción general del producto.

Se usó la API de Cloud Translation para traducir esta página.

Rota las claves de firma de KSA

Una cuenta de servicio de Kubernetes (KSA) proporciona una identidad para los procesos que se ejecutan en un Pod.

Las cuentas de servicio de Kubernetes son diferentes de las cuentas de servicio deGoogle Cloud que usan las aplicaciones para realizar llamadas autorizadas a las APIs de Google Cloud .

Google Distributed Cloud usa una clave criptográfica privada para firmar los tokens de KSA que emite a los pods. Usa la clave pública correspondiente para validar los tokens cuando los Pods envían solicitudes al servidor de la API de Kubernetes. Cuando un Pod usa Workload Identity para llamar a las APIs de Google Cloud , Google Cloud usa la misma clave pública para autenticar la identidad del Pod.

Durante la creación del clúster de usuarios, Google Distributed Cloud genera las claves privadas y públicas. También durante la creación del clúster, Google Distributed Cloud lo registra en una flota y proporciona la clave pública a Google Cloud.

Más adelante, puedes rotar el par de claves pública y privada. La rotación emite automáticamente tokens nuevos firmados por la nueva clave privada. Al final de la rotación, el clúster tiene una clave privada nueva, una clave pública nueva y tokens actualizados. Además, Google Cloud tiene la nueva clave pública.

Tokens vinculados y heredados

Un Pod puede usar un token heredado o un token vinculado para la autenticación y autorización cuando llama al servidor de la API de Kubernetes. Los tokens vinculados tienen una vida útil limitada y se distribuyen a los pods con volúmenes proyectados. Los tokens heredados nunca vencen y se almacenan en los Secretos de Kubernetes. Recomendamos los tokens vinculados porque son más seguros.

Tanto los tokens vinculados como los heredados se actualizan durante una rotación de claves.

Limitaciones

Si creaste el clúster con enableAdvancedCluster configurado en true (lo que es necesario para configurar dominios de topología), no se admite la rotación de claves.

Inicia una rotación de claves

Antes de comenzar una rotación de claves, ten en cuenta los siguientes puntos:

Durante una rotación de claves, no puedes iniciar otra rotación de claves, rotación de autoridad certificadora ni actualización de clúster.
No se puede pausar ni revertir la rotación de claves. Se borran todas las claves antiguas.
Una rotación de claves borra los nodos de clúster existentes y crea nodos nuevos.

Para iniciar una rotación de claves, haz lo siguiente:

gkectl update credentials ksa-signing-key rotate \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG \
    [--skip-prompt]

Reemplaza lo siguiente:

USER_CLUSTER_CONFIG: la ruta del archivo de configuración de tu clúster de usuario.
ADMIN_KUBECONFIG_FILE: la ruta del archivo kubeconfig del clúster de administrador

Incluye --skip-prompt si no quieres que se te solicite.

Consulta el estado de una rotación de claves

Para ver el estado de una rotación de claves, haz lo siguiente:

gkectl update credentials ksa-signing-key status \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG

Si la rotación de claves ya se completó, verás un mensaje similar al siguiente:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: True,
reason: KSASigningKeyRotationCompleted,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[2]}

Si la rotación de la clave de firma de KSA aún está en curso, verás un mensaje similar al siguiente:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: False,
reason: KSASigningKeyRotationProcessedReason,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[1,2]}