Cluster Anthos su VMware ora è Google Distributed Cloud (solo software) per VMware. Per ulteriori informazioni, consulta la panoramica del prodotto.

Questa pagina è stata tradotta dall'API Cloud Translation.

Ruotare le chiavi di firma KSA

Un account di servizio Kubernetes (KSA) fornisce un'identità per i processi in esecuzione in un pod.

Gli account di servizio Kubernetes sono diversi dagli Google Cloud account di servizio che le applicazioni utilizzano per effettuare chiamate autorizzate alle Google Cloud API.

Google Distributed Cloud utilizza una chiave di crittografia privata per firmare i token KSA che emette ai pod. Utilizza la chiave pubblica corrispondente per verificare i token quando i pod inviano richieste al server API Kubernetes. Quando un pod utilizza Workload Identity per chiamare le API,utilizza la stessa chiave pubblica per autenticare l'identità del pod. Google Cloud Google Cloud

Durante la creazione del cluster di utenti, Google Distributed Cloud genera le chiavi private e pubbliche. Inoltre, durante la creazione del cluster, Google Distributed Cloud registra il cluster in un parco risorse e fornisce la chiave pubblica a Google Cloud.

In un secondo momento, puoi ruotare la coppia di chiavi private/pubbliche. La rotazione emette automaticamente nuovi token firmati dalla nuova chiave privata. Al termine della rotazione, il cluster ha una nuova chiave privata, una nuova chiave pubblica e token aggiornati. Inoltre, Google Cloud ha la nuova chiave pubblica.

Token vincolati e token precedenti

Un pod può utilizzare un token legacy o un token associato per l'autenticazione e l'autorizzazione quando chiama il server dell'API Kubernetes. I token vincolati hanno una durata limitata e vengono distribuiti ai pod utilizzando volumi previsti. I token legacy non scadono mai e vengono conservati nei secret Kubernetes. Consigliamo i token vincolati perché sono più sicuri.

Sia i token associati che i token legacy vengono aggiornati durante la rotazione della chiave.

Limitazioni

Se hai creato il cluster con enableAdvancedCluster impostato su true (obbligatorio per la configurazione dei domini di topologia), rotazione della chiave non è supportata.

Avvia una rotazione della chiave

Prima di iniziare una rotazione della chiave, prendi in considerazione i seguenti punti:

Durante una rotazione della chiave, non puoi avviare un'altra rotazione della chiave, una rotazione dell'autorità di certificazione o un aggiornamento del cluster.
La rotazione delle chiavi non può essere messa in pausa o annullata. Tutte le chiavi precedenti vengono eliminate.
Una rotazione della chiave elimina i nodi del cluster esistenti e ne crea di nuovi.

Per avviare una rotazione della chiave:

gkectl update credentials ksa-signing-key rotate \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG \
    [--skip-prompt]

Sostituisci quanto segue:

USER_CLUSTER_CONFIG: il percorso del file di configurazione del cluster utente
ADMIN_KUBECONFIG_FILE: il percorso del file kubeconfig del cluster di amministrazione

Includi --skip-prompt se non vuoi che ti venga richiesto.

Visualizzare lo stato di una rotazione della chiave

Per visualizzare lo stato di una rotazione della chiave:

gkectl update credentials ksa-signing-key status \
    --config USER_CLUSTER_CONFIG \
    --kubeconfig ADMIN_CLUSTER_KUBECONIFG

Se la rotazione della chiave è già stata completata, viene visualizzato un messaggio simile al seguente:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: True,
reason: KSASigningKeyRotationCompleted,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[2]}

Se la rotazione della chiave di firma KSA è ancora in corso, visualizzerai un messaggio simile al seguente:

State of KSASigningKeyRotation with KSASigningKeyVersion 2 is -
status: False,
reason: KSASigningKeyRotationProcessedReason,
message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[1,2]}