보안 비밀 구성 파일

이 문서에서는 보안 비밀 구성 파일의 필드를 설명합니다. 준비된 보안 비밀을 만들 때 보안 비밀 구성 파일을 사용합니다.

보안 비밀 구성 파일에는 보안 비밀 그룹 집합이 포함되어 있습니다. 각 그룹에는 Kubernetes 네임스페이스의 이름과 다음 중 하나 이상에 대한 사용자 인증 정보가 있습니다.

• vCenter Server
• F5 BIG-IP
• 구성요소 액세스 서비스 계정
• 연결 등록 서비스 계정
• 로깅 모니터링 서비스 계정
• 감사 로깅 서비스 계정
• 사용량 측정 서비스 계정
• 비공개 레지스트리

보안 비밀 구성 파일을 gkectl create secrets 명령어에 대한 입력으로 제공합니다. 이 명령어는 보안 비밀 그룹마다 Kubernetes 보안 비밀을 만듭니다(그룹의 각 사용자 인증 정보에 보안 비밀 하나). 이 명령어는 지정된 Kubernetes 네임스페이스의 관리자 클러스터에 보안 비밀을 만듭니다.

시작하려면 보안 비밀 구성 파일의 템플릿을 만듭니다.

gkectl create-config secrets

템플릿

apiVersion: v1
kind: ClusterSecrets
# List of secret groups; for admin clusters it allows only one group
secretGroups:
# (Required for user clusters only) A unique name for secret namespace; it needs to
# have prefix 'gke-onprem-secrets-' (example: gke-onprem-secrets-test)
‐ namespace: ""
  # Secrets in this namespace
  secrets:
    # The credentials for vCenter
    vCenter:
      username: ""
      password: ""
    # The credentials for f5BigIP
    f5BigIP:
      username: ""
      password: ""
    # The GCP service account key used to pull GKE images
    componentAccessServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to register the cluster
    registerServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send logs and metrics from the cluster
    stackdriverServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send audit logs from the cluster
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: ""
    # The credentials for private registry
    privateRegistry:
      username: ""
      password: ""  

보안 비밀 구성 파일의 필드 입력

secretGroups

객체의 배열. 객체마다 Kubernetes 네임스페이스 이름과 사용자 인증 정보 집합이 있습니다.

관리자 클러스터의 경우 하나의 보안 비밀 그룹만 허용됩니다.

secretGroups[i].namespace

사용자 클러스터 전용.

보안 비밀 집합을 보관할 Kubernetes 네임스페이스의 이름입니다. 이름은 gke-onprem-secrets-로 시작해야 합니다.

예:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    ...
- namespace: "gke-onprem-secrets-alice"
  secrets:
    ...

secretGroups[i].secrets.vCenter

vCenter 계정의 사용자 이름과 비밀번호입니다.

예:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    vCenter:
      username: "vc-bob"
      password: "U$icUKEW#INE"

secretGroups[i].secrets.f5BigIP

F5 BIG-IP 계정의 사용자 이름과 비밀번호입니다.

예:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    f5BigIP:
      username: "f5-bob"
      password: "exvQVx^@L%F1"

secretGroups[i].secrets.componentAccessServiceAccount.serviceAccountKeyPath

구성요소 액세스 서비스 계정의 JSON 키 파일 경로입니다.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-folder/component-access-key.json"

secretGroups[i].secrets.registerServiceAccount.serviceAccountKeyPath

연결 등록 서비스 계정의 JSON 키 파일 경로입니다.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    registerServiceAccount:
      serviceAccountKeyPath: "my-folder/connect-register-key.json"

secretGroups[i].secrets.stackdriverServiceAccount.serviceAccountKeyPath

로깅 모니터링 서비스 계정의 JSON 키 파일 경로입니다.

예:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-folder/log-mon-key.json"

secretGroups[i].secrets.cloudAuditLoggingServiceAccount.serviceAccountKeyPath

감사 로깅 서비스 계정의 JSON 키 파일 경로입니다.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-folder/audit-log-key.json"

secretGroups[i].secrets.privateRegistry

비공개 레지스트리를 사용하는 경우 비공개 레지스트리의 사용자 이름과 비밀번호입니다.

예:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    privateRegistry:
      username: "registry-user-bob"
      password: "f[vuV3^@L*4g"