Cluster Anthos di VMware kini menjadi Google Distributed Cloud (khusus software) untuk VMware. Untuk mengetahui informasi selengkapnya, lihat ringkasan produk.

Halaman ini diterjemahkan oleh Cloud Translation API.

Memutar kunci penandatanganan KSA

Akun layanan Kubernetes (KSA) memberikan identitas untuk proses yang berjalan di Pod.

Akun layanan Kubernetes berbeda dengan akun layanan Google Cloud yang digunakan aplikasi untuk melakukan panggilan yang diotorisasi ke Google Cloud API.

Google Distributed Cloud menggunakan kunci kriptografis pribadi untuk menandatangani token KSA yang diterbitkan ke Pod. Server ini menggunakan kunci publik yang sesuai untuk memvalidasi token saat Pod mengirim permintaan ke server Kubernetes API. Saat Pod menggunakan Workload Identity untuk memanggil Google Cloud API, Google Cloud akan menggunakan kunci publik yang sama untuk mengautentikasi identitas Pod.

Selama pembuatan cluster pengguna, Google Distributed Cloud akan membuat kunci pribadi dan publik. Selain itu, selama pembuatan cluster, Google Distributed Cloud mendaftarkan cluster ke fleet dan memberikan kunci publik ke Google Cloud.

Pada lain waktu, Anda dapat merotasi pasangan kunci pribadi/publik. Rotasi secara otomatis mengeluarkan token baru yang ditandatangani oleh kunci pribadi baru. Di akhir rotasi, cluster memiliki kunci pribadi baru, kunci publik baru, dan token yang diperbarui. Selain itu, Google Cloud memiliki kunci publik baru.

Token terikat dan token lama

Pod dapat menggunakan token lama atau token terikat untuk autentikasi dan otorisasi saat memanggil server Kubernetes API. Token terikat memiliki masa berlaku terbatas dan didistribusikan ke Pod menggunakan volume yang diproyeksikan. Token lama tidak pernah berakhir masa berlakunya dan disimpan di Secret Kubernetes. Sebaiknya gunakan token terikat karena lebih aman.

Token terikat dan token lama diperbarui selama rotasi kunci.

Memulai rotasi kunci

Sebelum Anda memulai rotasi kunci, pertimbangkan poin-poin berikut:

Selama rotasi kunci, Anda tidak dapat memulai rotasi kunci, rotasi otoritas sertifikat, atau update cluster lainnya.
Rotasi kunci tidak dapat dijeda atau di-roll back. Semua kunci lama akan dihapus.
Rotasi kunci akan menghapus node cluster yang ada dan membuat node baru.

Untuk memulai rotasi kunci:

gkectl update credentials ksa-signing-key rotate \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG \
    [--skip-prompt]

Ganti kode berikut:

USER_CLUSTER_CONFIG: Jalur file konfigurasi cluster pengguna
ADMIN_KUBECONFIG_FILE: Jalur file kubeconfig cluster admin

Sertakan --skip-prompt jika Anda tidak ingin diminta.

Melihat status rotasi kunci

Untuk melihat status rotasi kunci:

gkectl update credentials ksa-signing-key status \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG

Jika rotasi kunci telah selesai, Anda akan melihat pesan yang mirip dengan ini:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: True,
reason: KSASigningKeyRotationCompleted,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[2]}

Jika rotasi Kunci Penandatanganan KSA masih berlangsung, Anda akan melihat pesan yang mirip dengan ini:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: False,
reason: KSASigningKeyRotationProcessedReason,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[1,2]}